Eine China nahestehende Hackergruppe hat bei Angriffen auf Regierungen Steganografie benutzt, um Schadsoftware über harmlos aussehende Bilddateien mit integriertem Backdoor-Code (Steganografie) nachzuladen.
Die Gruppe von Cyberspionen „Witchetty Gang“ nutzt bei ihren aktuellen Angriffen die ungewöhnlichen Methoden der Steganografie, um auf infizierten Systemen Malware nachzuladen.
So berichten es die Sicherheitsexperten der Sicherheitsfirma Symantec. Dabei sollen die Hacker schon bei mehreren Angriffen Code in einem alten Windows-Logo versteckt.
Die Angriffe fanden dem BEricht zufolge zwischen Februar und September statt, und Ziel seien Regierungen von zwei Ländern im Nahen Osten und die Börse eines afrikanischen Landes gewesen.
Die Angriffe starteten in einem ersten Schritt verschiedene schon länger bekannte, häufig ausgenutzte Schwachstellen wie ProxyShell oder ProxyLogon als Ziel, um sich so auf öffentlich zugänglichen Servern unerlaubten Zugriff zu verschaffen. Dort waren sie dann in der Lage, Anmeldedaten zu stehlen. Nach dem Eindringen in das System sei dann in mehreren Schritten Schadsoftware nachgeladen worden, berichten die Sicherheitsexperten von Symantec.
Die Verbreitung läuft über Portale wie GitHub
Dabei sei unter anderem „Backdoor.Stegmap” zum Einsatz gekommen, das mittels Steganografie die Payload der Backdoor in einem harmlosen Bild versteckt.
Als Bild nutzten die Angreifer das bunte Windows-7-Logo (siehe Artikelbild). Ein DLL-Loader auf dem infizierten System lädt dann dieses Bild aus einem GitHub-Repository und entpackt die darin enthaltene Schadsoftware mit einem XOR-Key.
Diese nachgeladene Backdoor sei dann unter anderem in der Lage gewesen, auf dem Zielsystem Verzeichnisse und Dateien zu kopieren und auch Prozesse zu starten und zu beenden.
Benutzer vertrauen den Download-Servern
Das Perfide an der Technik ist ja, dass man so die Payload auf einer kostenlosen, vertrauenswürdigen Plattform wie GitHub veröffentlichen kann, die im Zielsystem “viel unwahrscheinlicher ein Warnsignal auslöst als der Download von einem von den Angreifern kontrollierten Command-and-Control-Server (C&C).”
Nach Angaben des Newsportal Bleeping Computer soll die Witchetty Gang der chinesischen Hackergruppe APT10 nahestehen. Die Gruppe soll zum ersten Mal im April 2022 von dem tschechoslowakischen Sicherheitsunternehmen ESET beschrieben worden sein, berichten Symantecs Sicherheitsexperten in ihrem Unternehmensblog.