Un groupe de pirates surnommé le Witchetty a été observé en train d’utiliser une technique stéganographique pour cacher une porte dérobée dans un logo Windows et cibler principalement les gouvernements du Moyen-Orient. Selon un communiqué de Broadcom, Witchetty – également connu sous le nom de LookingFrog – aurait des liens avec le groupe de menaces chinois soutenu par Pékin APT10, ainsi qu’avec les opérateurs de TA410, un groupe lié aux attaques contre les fournisseurs d’énergie des États-Unis.
Witchetty a été découvert par ESET en avril, avec son activité caractérisée par l’utilisation d’une porte dérobée de première étape connue sous le nom de X4 et d’une charge utile de deuxième étape connue sous le nom de LookBack. Alors que le groupe a continué à utiliser la porte dérobée LookBack, Broadcom a noté que plusieurs nouveaux types de logiciels malveillants semblent avoir été ajoutés à son ensemble d’outils.
“Le groupe d’espionnage Witchetty […] a progressivement mis à jour son ensemble d’outils, en utilisant de nouveaux logiciels malveillants dans des attaques contre des cibles au Moyen-Orient et en Afrique », indique le communiqué. “Parmi les nouveaux outils utilisés par le groupe, il y a un cheval de Troie de porte dérobée (Backdoor.Stegmap) qui utilise la stéganographie, une technique rarement vue dans laquelle un code malveillant est caché dans une image”, explique la note.
De plus, les attaquants observés par Broadcom entre février et septembre ont exploité les vulnérabilités ProxyShell et ProxyLogon pour installer des shells Web sur des serveurs publics. Ensuite, ils ont volé des informations d’identification, se sont déplacés latéralement sur les réseaux et ont installé des logiciels malveillants sur d’autres ordinateurs.
Regarde ça
Cyber-Spy Group cible les militants du Moyen-Orient
Un groupe découvert en utilisant Zero Day au Moyen-Orient
“Witchetty a démontré sa capacité à affiner et à mettre à jour en permanence son ensemble d’outils pour compromettre les cibles d’intérêt”, a écrit Broadcom. «L’exploitation des vulnérabilités des serveurs publics fournit une voie aux organisations, tandis que des outils personnalisés combinés à l’utilisation habile des techniques d’attaque de la vie hors de la terre (LotL) pour obtenir un mouvement latéral après le piratage du système.
Symantec a fourni des mises à jour de protection sur les dernières attaques de Witchetty dans son bulletin de sécurité.La publication de l’avis intervient des mois après que les chercheurs de CloudSEK ont découvert une vaste campagne de phishing dans laquelle les opérateurs de menace se faisaient passer pour le gouvernement du ministère des Ressources humaines des Émirats arabes unis.
