已被納入博通(Broadcom)旗下的賽門鐵克威脅獵手團隊(Threat Hunter Team)上周警告,駭客組織Witchetty(又名LookingFrog)最近針對中東及非洲展開的攻擊行動中,採用少見的圖像隱碼(Steganography)技術,將一個後門木馬植入了Windows的商標中。
Witchetty為一間諜型駭客組織,在今年4月始被另一資安業者ESET發現,判斷它是間諜駭客TA410的成員之一,而TA410又與中國駭客集團APT10有所關聯。Witchetty的主要特性是在第一階段使用X4後門程式,並於第二階段載入第二個後門LookBack,且專門滲透政府組織、外交任務、慈善機構與工業組織。
根據Threat Hunter團隊的調查,Witchetty在今年2月至9月間鎖定了兩個中東國家的政府、以及一個非洲國家的證券交易中心展開攻擊,駭客開採了位於微軟Exchange Server上的ProxyShell與ProxyLogon漏洞,以於對外的網路伺服器上安裝Web Shell。
而在這波的攻擊中,除了既有的工具外,Witchetty還採用了新工具Backdoor.Stegmap,可利用圖像隱碼技術自點陣圖(BMP)影像中汲取酬載,若成功將惡意程式藏匿在看似無害的點陣圖中,就能矇騙受害者,其中一個遭到駭客利用的便是舊版的微軟Windows商標(下圖)。
圖片來源/Broadcom
把惡意酬載嵌入看起來非常安全的圖像檔中,將讓駭客可光明正大地將它們置放於諸如GitHub等各種可靠及免費的服務上,相較於放在駭客所控制的C&C伺服器上,前者更不容易被察覺。
此外,駭客於BMP檔中所嵌入的惡意酬載更是一個具備完整功能的後門程式,它能建立/移除目錄,也能複製/移動/刪除檔案,還能啟用/關閉程序,自遠端主機下載與執行檔案,讀取/建立/刪除登錄機碼,或是竊取檔案等。
Threat Hunter團隊已公布相關攻擊的網路入侵指標供外界參考。
熱門新聞
2024-11-29
2024-11-15
2024-11-20
2024-11-15