يبدو أنه حتى شعار Windows الأيقوني لم يعد في مأمن من البرامج الضارة بعد الآن، حيث تمكن بعض مجرمي الإنترنت من إخفاء التعليمات البرمجية الضارة بداخله بنجاح.
يزعم خبراء الأمن السيبراني في Symantec أنهم اكتشفوا إحدى هذه الحملات باستخدام عملية إخفاء التعليمات البرمجية الخبيثة في صور غير ضارة، والمعروفة باسم إخفاء المعلومات.
يتم إجراؤه عادةً لتجنب الكشف عن طريق برامج مكافحة الفيروسات، حيث نادرًا ما تكتشف هذه الحلول الصور على أنها ضارة.
ملاحقة الحكومات
في هذه الحالة بالذات، يُطلق على المجموعة المنخرطة في هجمات إخفاء المعلومات اسم Witchetty، وهو ممثل تهديد معروف يُزعم أنه مرتبط بشدة بالممثل الصيني الذي ترعاه الدولة Cicada (AKA APT10)، ويعتبر أيضًا جزءًا من منظمة TA410 التي استهدفت مزودي الطاقة الأمريكيين في الماضي.
بدأت المجموعة حملتها الأخيرة في فبراير 2022، مستهدفة حكومتين على الأقل في الشرق الأوسط.
علاوة على ذلك، يُزعم أن الهجوم على البورصة في إفريقيا لا يزال نشطًا. استخدم Witchetty هجمات إخفاء المعلومات لإخفاء باب خلفي مشفر باستخدام XOR، والذي تم استضافته على خدمة سحابية، مما يقلل من فرص اكتشافه. لإسقاط قذائف الويب على نقاط النهاية الضعيفة، استغل المهاجمون الثغرات الأمنية المعروفة لـ Microsoft Exchange ProxyShell للوصول الأولي: CVE-2021-34473 و CVE-2021-34523 و CVE-2021-31207 و CVE-2021-26855 و CVE-2021-27065.
وقالت سيمانتك: "إن إخفاء الحمولة بهذه الطريقة سمح للمهاجمين باستضافتها على خدمة مجانية وموثوق بها". "التنزيلات من مضيفين موثوقين مثل GitHub أقل احتمالية بكثير لرفع علامات التحذير من التنزيلات من خادم القيادة والتحكم (C&C) الذي يتحكم فيه المهاجم".
يسمح الباب الخلفي المشفر XOR لممثلي التهديد بالقيام بعدد من الأشياء، بما في ذلك العبث بالملفات والمجلدات، وتشغيل العمليات وإنهائها، وتعديل سجل Windows، وتنزيل برامج ضارة إضافية، وسرقة المستندات، بالإضافة إلى تحويل نقطة النهاية المخترقة إلى خادم C2.
آخر مرة سمعنا فيها عن Cicada كانت في أبريل 2022، عندما أبلغ الباحثون أن المجموعة قد أساءت استخدام مشغل وسائط VLC الشهير لتوزيع البرامج الضارة والتجسس على الوكالات الحكومية والمنظمات المجاورة الموجودة في الولايات المتحدة وكندا وهونغ كونغ وتركيا وإسرائيل والهند، الجبل الأسود وإيطاليا.
يزعم خبراء الأمن السيبراني في Symantec أنهم اكتشفوا إحدى هذه الحملات باستخدام عملية إخفاء التعليمات البرمجية الخبيثة في صور غير ضارة، والمعروفة باسم إخفاء المعلومات.
يتم إجراؤه عادةً لتجنب الكشف عن طريق برامج مكافحة الفيروسات، حيث نادرًا ما تكتشف هذه الحلول الصور على أنها ضارة.
ملاحقة الحكومات
في هذه الحالة بالذات، يُطلق على المجموعة المنخرطة في هجمات إخفاء المعلومات اسم Witchetty، وهو ممثل تهديد معروف يُزعم أنه مرتبط بشدة بالممثل الصيني الذي ترعاه الدولة Cicada (AKA APT10)، ويعتبر أيضًا جزءًا من منظمة TA410 التي استهدفت مزودي الطاقة الأمريكيين في الماضي.
بدأت المجموعة حملتها الأخيرة في فبراير 2022، مستهدفة حكومتين على الأقل في الشرق الأوسط.
علاوة على ذلك، يُزعم أن الهجوم على البورصة في إفريقيا لا يزال نشطًا. استخدم Witchetty هجمات إخفاء المعلومات لإخفاء باب خلفي مشفر باستخدام XOR، والذي تم استضافته على خدمة سحابية، مما يقلل من فرص اكتشافه. لإسقاط قذائف الويب على نقاط النهاية الضعيفة، استغل المهاجمون الثغرات الأمنية المعروفة لـ Microsoft Exchange ProxyShell للوصول الأولي: CVE-2021-34473 و CVE-2021-34523 و CVE-2021-31207 و CVE-2021-26855 و CVE-2021-27065.
وقالت سيمانتك: "إن إخفاء الحمولة بهذه الطريقة سمح للمهاجمين باستضافتها على خدمة مجانية وموثوق بها". "التنزيلات من مضيفين موثوقين مثل GitHub أقل احتمالية بكثير لرفع علامات التحذير من التنزيلات من خادم القيادة والتحكم (C&C) الذي يتحكم فيه المهاجم".
يسمح الباب الخلفي المشفر XOR لممثلي التهديد بالقيام بعدد من الأشياء، بما في ذلك العبث بالملفات والمجلدات، وتشغيل العمليات وإنهائها، وتعديل سجل Windows، وتنزيل برامج ضارة إضافية، وسرقة المستندات، بالإضافة إلى تحويل نقطة النهاية المخترقة إلى خادم C2.
آخر مرة سمعنا فيها عن Cicada كانت في أبريل 2022، عندما أبلغ الباحثون أن المجموعة قد أساءت استخدام مشغل وسائط VLC الشهير لتوزيع البرامج الضارة والتجسس على الوكالات الحكومية والمنظمات المجاورة الموجودة في الولايات المتحدة وكندا وهونغ كونغ وتركيا وإسرائيل والهند، الجبل الأسود وإيطاليا.
