(资料图片仅供参考)

基于恶意软件的活动正在变成越来越复杂的威胁，能够针对多种设备和操作系统。新的技术和"技巧"不断被添加，而已经知道的解决方案往往时不时地重新出现。隐写术，虽然既不是一种新技术，也不是一种在图像中隐藏数据的流行技术，但确实被一个名为Witchetty的组织用于新的间谍软件活动中。

据赛门铁克的威胁猎人小组报告，Backdoor.Stegmap的标志性特征是恶意代码隐藏在一个人们非常熟悉的、旧的微软Windows操作系统的标志中。该标志图像被托管在GitHub仓库。

当DLL加载器在被攻击的系统上下载上述标志时，隐藏在图像文件中的有效载荷被XOR密钥解密。如果成功执行，Backdoor.Stegmap木马可以打开一个功能齐全的后门，能够创建文件和目录，启动或杀死进程，修改Windows注册表，下载新的可执行文件等。

据赛门铁克研究人员称，由Witchetty网络间谍组织（又称LookingFrog）进行的基于Backdoor.Stegmap的活动自2022年2月以来一直很活跃，目标是两个中东政府和一个非洲国家的证券交易所。

攻击者利用已经知道的漏洞（CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065）在面向公众的服务器上安装WebShell，窃取凭证，跨网络传播并在其他计算机上安装恶意软件。

Witchetty在2022年4月首次受到关注，当时ESET发现该威胁是TA410的子集团之一，TA410是一个网络间谍行动，与被称为Cicada/APT10的国家支持的集团有关。Witchetty配备了丰富的工具集，具有不断增长的恶意软件功能，以主要针对政府、外交使团、慈善机构和行业组织而闻名。

Backdoor.Stegmap隐写木马是上述工具集的最新成员，而该组织采用的新工具包括一个自定义代理工具、一个端口扫描器和一个"持久性工具"，该工具也会乔装打扮，它将自己添加到注册表的自动启动部分，隐藏在"NVIDIA显示核心组件"名称的后面。

赛门铁克表示，Witchetty已经显示出有能力"不断完善和刷新其工具集，以破坏感兴趣的目标"，从而在受影响的组织中保持长期、持久的存在。

了解更多：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage

标签：