Eine Hackergruppe nutzt eine Bilddatei mit einem harmlosen Windows-Logo, um die Systeme ihrer Opfer mit einer Malware zu infizieren.
Die Hackergruppe Witchetty mit chinesischen Verbindungen hat es auf Regierungen im Nahen Osten abgesehen. Für ihre Angriffe nutzt sie eine in verschlüsselter Form in einer Bitmap, die ein Windows-Logo darstellt, abgelegte Backdoor. Doch im ersten Schritt kommen alte Sicherheitslücken zum Einsatz.
Hackergruppe Witchetty greift Regierungen an im Nahen Osten an
Bei Angriffen auf Regierungen im Nahen Osten wendet die unter dem Namen Witchetty bekannte Hackergruppe einen stenografischen Trick an, um eine Backdoor in einem Windows-Logo zu verstecken. Die Hacker scheinen dem Bericht des Symantec Threat Hunter Teams von Broadcom zufolge eine von drei Untergruppen der TA410 mit engen Verbindungen zum chinesischen Bedrohungsakteur Cicada (APT10) zu sein.
Die im April 2022 erstmals von ESET dokumentierte Hackergruppe betreibt demnach seit Februar 2022 eine neue Cyberspionage-Kampagne, mit der sie neben den Regierungen im Nahen Osten auch eine Börse in Afrika ins Visier nimmt.
In einer Bitmap verschlüsselte Backdoor liegt auf GitHub
Neben der LookBack-Backdoor nutzt Witchetty noch weitere Malware-Typen für ihre Angriffe auf Windows-Systeme. Darunter auch die Backdoor.Stegmap, die Steganografie nutzt, um ihre Nutzlast aus einem Bitmap-Bild zu extrahieren. Und obwohl dieses Verfahren nur selten bei Hackerangriffen zum Einsatz kommt, handelt es sich dabei um eine sehr effektive Methode, um schadhaften Code in harmlos erscheinenden Bildern zu verstecken.
Das erlaubt es den Hackern laut dem Bericht der Sicherheitsforscher, die getarnte Nutzlast auf einem vertrauenswürdigen Dienst wie einem GitHub-Repository zu speichern und im Falle eines Angriffs von dort abzurufen. Denn ein Download von GitHub ist für Sicherheitssysteme weitaus weniger auffällig, als wenn er direkt von einem Command-and-Control-Server der Angreifer erfolgt.
Es handelt sich bei dem Inhalt der Bitmap-Datei um ein altes Windows-Logo. Darin enthalten ist die Nutzlast der Malware in verschlüsselter Form. Mit einem einfachen XOR-Schlüssel kann diese jedoch entschlüsselt werden.
Des Weiteren verwenden die Hacker ein paar benutzerdefinierte Tools wie ein Proxy-Dienstprogramm, einen Port-Scanner und ein Persistenz-Dienstprogramm. Aber auch Mimikatz und Windows-Bordmittel wie CMD, WMIC und PowerShell gehören zum Werkzeugkasten von Witchetty.
Alte Sicherheitslücken erlauben Download des Windows-Logos
Laut BleepingComputer starten die Angreifer damit, dass sie Webshells auf anfälligen Servern ablegen. Dafür nutzen sie einige bekannte Sicherheitslücken wie Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) oder ProxyLogon (CVE-2021-26855 und CVE-2021-27065) aus. Zweiteren Fall machte sich auch die Ransomwaregruppe DEV-0270 zunutze. Über deren Angriffe auf Basis des in Windows integrierten Bitlockers hatten wir erst kürzlich berichtet.
Als Nächstes erfolgt der Download und die Entschlüsselung der Bitmap. Die enthaltene Backdoor erlaubt es den Hackern schließlich, zahlreiche Aktionen auf dem infiltrierten System auszuführen. Darunter Änderungen an Dateien, Verzeichnissen, laufenden Prozessen, der Windows-Registrierung sowie Up- und Download beliebiger Daten.
Da die ausgenutzten Schwachstellen schon älter sind, scheinen die Hacker vorrangig Windows-Systeme anzugreifen, deren Administratoren die Installation von Sicherheitsupdates vernachlässigt haben. Es empfiehlt sich also einmal mehr, seine Systeme stets auf dem neusten Stand zu halten.
