В логотипе Windows спрятали малварьЭксперты из Symantec обнаружили кибершпионаж, в рамках которого при помощи стеганографии устанавливается бэкдор в логотип Windows. Действия приписывают преступной группе Witchetty.
Хакерская кампания продолжается с февраля 2022 года и атакует правительства на Ближнем Востоке и фондовую биржу в Африке. Технология стеганографии скрывает малварь посредством XOR-шифрования.
Сначала злоумышленники получают доступ к сети путем сброса веб-оболочек на уязвимые серверы (в этом им помогают уязвимости Microsoft Exchange ProxyShell и ProxyLogon), затем они извлекают бэкдор из файла образа и
получают следующие возможности:
· взаимодействовать с файлами и каталогами,
· выполнять запуск, перечисление или уничтожение процессов,
· изменять реестр Windows,
· доставлять дополнительные полезные нагрузки,
· эксфильтровывать файлы.
Witchetty может иметь отношение к китайской группировке Cicada, которая, как сообщают СМИ, пользуется поддержкой правительства.
Люди PRO Media
