Un groupe de pirates utilise un fichier image avec un logo Windows inoffensif pour infecter les systèmes de leurs victimes avec des logiciels malveillants.

Le groupe de hackers lié à la Chine Witchetty cible les gouvernements du Moyen-Orient. Pour ses attaques, il utilise une porte dérobée stockée sous forme cryptée dans un bitmap représentant un logo Windows. Mais dans un premier temps, les anciennes failles de sécurité sont utilisées.

Le groupe de hackers Witchetty attaque les gouvernements du Moyen-Orient

Lorsqu’il attaque les gouvernements du Moyen-Orient, le groupe de piratage connu sous le nom de Witchetty utilise une astuce sténographique pour cacher une porte dérobée dans un logo Windows. Les pirates informatiques semblent être l’un des trois sous-ensembles du TA410 ayant des liens étroits avec l’acteur de menace chinois Cicada (APT10), selon le rapport de l’équipe Symantec Threat Hunter de Broadcom.

Le groupe de hackers, documenté pour la première fois par ESET en avril 2022, mène une nouvelle campagne de cyberespionnage depuis février 2022, avec laquelle il cible non seulement les gouvernements du Moyen-Orient mais aussi une bourse en Afrique.

La porte dérobée chiffrée dans un bitmap est sur GitHub

En plus de la porte dérobée LookBack, Witchetty utilise d’autres types de logiciels malveillants pour attaquer les systèmes Windows. Y compris le Backdoor.Stegmap, qui utilise la stéganographie pour extraire sa charge utile d’une image bitmap. Et bien que cette technique soit rarement utilisée dans les tentatives de piratage, c’est un moyen très efficace de cacher le code malveillant dans des images d’apparence inoffensive.

Selon le rapport des chercheurs en sécurité, cela permet aux pirates de stocker la charge utile déguisée sur un service de confiance tel qu’un référentiel GitHub et de la récupérer à partir de là en cas d’attaque. Parce qu’un téléchargement depuis GitHub est beaucoup moins visible pour les systèmes de sécurité que s’il est effectué directement depuis le serveur de commande et de contrôle d’un attaquant.

Le contenu du fichier bitmap est un ancien logo Windows. Il contient la charge utile du logiciel malveillant sous forme cryptée. Cependant, il peut être déchiffré avec une simple clé XOR.

De plus, les pirates utilisent quelques outils personnalisés comme un utilitaire proxy, un scanner de port et un utilitaire de persistance. Mais les outils Mimikatz et Windows tels que CMD, WMIC et PowerShell font également partie de la boîte à outils de Witchetty.

D’anciennes vulnérabilités permettent le téléchargement du logo Windows

Selon BleepingComputer, les attaquants commencent par placer des web shells sur des serveurs vulnérables. Pour ce faire, ils exploitent certaines vulnérabilités connues telles que Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207) ou ProxyLogon (CVE-2021-26855 et CVE-2021-27065). Le deuxième cas a également été exploité par le groupe de rançongiciels DEV-0270. Nous avons récemment rendu compte de leurs attaques basées sur le Bitlocker intégré à Windows.

Vient ensuite le téléchargement et le décryptage du bitmap. Enfin, la porte dérobée incluse permet aux pirates d’effectuer de nombreuses actions sur le système infiltré. Il s’agit notamment des modifications apportées aux fichiers, aux répertoires, aux processus en cours d’exécution, au registre Windows et au téléchargement et au téléchargement de toutes les données.

Les vulnérabilités exploitées étant plus anciennes, les pirates semblent s’attaquer principalement aux systèmes Windows dont les administrateurs ont négligé d’installer les mises à jour de sécurité. Il est donc à nouveau conseillé de maintenir vos systèmes à jour.