Истражувачите на компанијата Symantec открија кампања на хакерската група „Witchetty“, која користи стеганографија за да го скрие „backdoor“ малициозниот софтвер во логото на Windows.

Групата Witchetty, која исто така го носи името LookingFrog, се верува дека има блиски врски со APT10 („Cicada“, „Stone Panda“ или TA429), кинески група за шпионажа поддржана од државата. Групата, исто така, се верува дека е дел од TA410, група оперативци кои претходно биле поврзани со напади врз американските енергетски компании.

Symantec објави дека групата води нова кампања за сајбер шпионажа, започната во февруари 2022 година, која досега беше насочена кон две влади на Блискиот Исток и берза во Африка и сè уште е во тек.

Хакерите користат голем број алатки за таргетирање на различни пропусти, како и стеганографија за да го сокријат својот малициозен софтвер од антивирусен софтвер.

Стеганографијата е техника на криење тајни пораки (а во овој случај малициозен софтвер) во датотека што е јавна, како што е слика, за да се избегне откривање. На пример, хакер може да создаде слика што се прикажува правилно на компјутер, но всушност содржи злонамерен код што може да се извлече од него.

Во кампањата откриена од Symantec, Witchetty користи стеганографија за да скрие „backdoor“ малвер во битмапа слика на старо лого на Windows пронајдено во складиштето на GitHub.

Потоа, напаѓачите ја преземаат „backdoor“ на Stegmap што се крие на сликата, и која како и секоја друга „задна врата“ има широк спектар на функции кои му овозможуваат да извршува бројни злонамерни активности, меѓу другото, манипулација со датотеки, преземање и лансирање на друг малициозен софтвер, прекинување на процесот, модификации на регистарот на Windows и вадење датотеки од заразениот систем.

„Witchetty ја покажа способноста постојано да ја усовршува и освежува својата група алатки за да ги компромитира целите од интерес“, велат истражувачите.

TA410 и Witchetty остануваат активни закани за владите и владините организации ширум светот. Најдобар начин да се спречат нивните напади е да се применат безбедносни надградби веднаш штом ќе бидат објавени бидејќи, како што гледаме, во оваа кампања хакерите се потпираат на искористување на минатогодишните пропусти за хакирање на мрежи, искористувајќи ја лошата администрација на јавно изложените сервери.