I ricercatori di Symantec hanno scoperto una nuova campagna di cyberspionaggio avviata dal gruppo Witchetty che sfrutta la steganografia per nascondere una backdoor all’interno di un’immagine. I cybercriminali hanno scelto un’immagine molto nota, ovvero il logo di Windows 7. Gli attacchi sono stati rilevati soprattutto in Africa e Medio Oriente.
Backdoor nel logo di Windows 7
Secondo Symantec, Witchetty è collegato al gruppo Cicada (APT10), finanziato dalla Cina, che colpisce solitamente governi, missioni diplomatiche e aziende. Durante i precedenti attacchi sono state utilizzate le backdoor X4 e LookBack. Per la nuova campagna è stata scelta Backdoor.Stegmap che sfrutta la steganografia per scaricare il payload da un’immagine bitmap.
L’immagine in questione, prelevata da un repository di GitHub, è il logo di Windows 7. L’utente vede un’immagine apparentemente innocua, mentre la backdoor inizia le sue attività in background. I cybercriminali sfruttano le note vulnerabilità ProxyLogon e ProxyShell di Microsoft Exchange per installare web shell sui server accessibili da remoto e non ancora aggiornati.
Oltre ad accedere a file, directory e processi, la backdoor sottrae le credenziali di login con il noto tool Mimikatz e si propaga nella rete interna per installare altri malware sui computer. Tutti i dati raccolti sono quindi inviati al server remoto.
È chiaro che questo tipo di minaccia è inefficace se gli amministratori IT mantengono aggiornati i server Exchange. Microsoft ha rilasciato tutte le patch oltre un anno fa. La backdoor del gruppo Witchetty viene rilevata e bloccata dalle soluzioni di sicurezza offerte da Symantec.