网络第5域

Backdoor.Stegmap:一种隐藏在微软Windows标志中的恶意软件

字号+作者: 来源:cnBeta.COM 2022-10-01 04:49 评论(创建话题) 收藏成功收藏本文

基于恶意软件的活动正在变成越来越复杂的威胁,能够针对多种设备和操作系统。新的技术和"技巧"不断被添加,而已经知道的解决方案往往时不时地重新出现。隐'...

基于恶意软件的活动正在变成越来越复杂的威胁,能够针对多种设备和操作系统。新的技术和"技巧"不断被添加,而已经知道的解决方案往往时不时地重新出现。隐写术,虽然既不是一种新技术,也不是一种在图像中隐藏数据的流行技术,但确实被一个名为Witchetty的组织用于新的间谍软件活动中。kCV品论天涯网

kCV品论天涯网

据赛门铁克的威胁猎人小组报告,Backdoor.Stegmap的标志性特征是恶意代码隐藏在一个人们非常熟悉的、旧的微软Windows操作系统的标志中。该标志图像被托管在GitHub仓库。kCV品论天涯网

当DLL加载器在被攻击的系统上下载上述标志时,隐藏在图像文件中的有效载荷被XOR密钥解密。如果成功执行,Backdoor.Stegmap木马可以打开一个功能齐全的后门,能够创建文件和目录,启动或杀死进程,修改Windows注册表,下载新的可执行文件等。kCV品论天涯网

据赛门铁克研究人员称,由Witchetty网络间谍组织(又称LookingFrog)进行的基于Backdoor.Stegmap的活动自2022年2月以来一直很活跃,目标是两个中东政府和一个非洲国家的证券交易所。kCV品论天涯网

攻击者利用已经知道的漏洞(CVE-2021-34473,CVE-2021-34523,CVE-2021-31207,CVE-2021-26855,CVE-2021-27065)在面向公众的服务器上安装WebShell,窃取凭证,跨网络传播并在其他计算机上安装恶意软件。kCV品论天涯网

Witchetty在2022年4月首次受到关注,当时ESET发现该威胁是TA410的子集团之一,TA410是一个网络间谍行动,与被称为Cicada/APT10的国家支持的集团有关。Witchetty配备了丰富的工具集,具有不断增长的恶意软件功能,以主要针对政府、外交使团、慈善机构和行业组织而闻名。kCV品论天涯网

Backdoor.Stegmap隐写木马是上述工具集的最新成员,而该组织采用的新工具包括一个自定义代理工具、一个端口扫描器和一个"持久性工具",该工具也会乔装打扮,它将自己添加到注册表的自动启动部分,隐藏在"NVIDIA显示核心组件"名称的后面。kCV品论天涯网

赛门铁克表示,Witchetty已经显示出有能力"不断完善和刷新其工具集,以破坏感兴趣的目标",从而在受影响的组织中保持长期、持久的存在。kCV品论天涯网

了解更多:kCV品论天涯网

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage
kCV品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]