Witchetty: Hackergruppe versteckt Backdoor-Malware in Windows-Logo
Sicherheitsforscher haben einen neuen Trick entdeckt, mit dem eine Hackergruppe namens "Witchetty" PC-Nutzern eine Spähsoftware unterjubelt. Genutzt wird dabei ein Bildverschlüsselungsverfahren und ein Bild eines Windows-Logos.
Das berichtet das Online-Magazin Bleeping Computer. Gemeldet wurde die neue Bedrohung von den Sicherheitsspezialisten von Symantec.
In der von Symantec entdeckten Kampagne nutzen die Hacker Schwachstellen aus dem letzten Jahr aus, um in das Zielnetzwerk einzudringen, und machen sich dabei die mangelhafte Verwaltung der öffentlich zugänglichen Server zunutze. Infografik Cyberangriffe aus dem Osten: Hacker visieren deutsche Unternehmen an
Unter Steganografie versteht man das Verstecken von Daten in anderen, nicht geheimen, öffentlichen Informationen oder Computerdateien, wie z. B. Bildern, um einer Entdeckung zu entgehen. So kann ein Hacker eine funktionierende Bilddatei erstellen, die auf dem Computer korrekt angezeigt wird, aber auch bösartigen Code enthält.
"Indem die Angreifer die Nutzlast auf diese Weise tarnten, konnten sie auch auf einem kostenlosen, vertrauenswürdigen Dienst hosten", erklärt Symantec in seinem Bericht: "Downloads von vertrauenswürdigen Hosts wie GitHub schlagen weitaus seltener Alarm als Downloads von einem vom Angreifer kontrollierten Command-and-Control-Server (C&C)." Der Angriff beginnt damit, dass sich die Angreifer zunächst Zugang zu einem Netzwerk verschaffen, indem sie die Angriffsketten Microsoft Exchange ProxyShell und ProxyLogon ausnutzen.
Sobald der Zugriff besteht, kann weiter Malware eingeschleust werden. Es wird vermutet, dass Witchetty enge Verbindungen zu dem staatlich unterstützten chinesischen Bedrohungsakteur APT10 hat. Die Gruppe wird auch mit Angriffen auf US-Energieversorger in Verbindung gebracht. Laut Symantec sind derzeit vor allem staatliche Einrichtungen im Visier der Hacker.
Siehe auch:
In der von Symantec entdeckten Kampagne nutzen die Hacker Schwachstellen aus dem letzten Jahr aus, um in das Zielnetzwerk einzudringen, und machen sich dabei die mangelhafte Verwaltung der öffentlich zugänglichen Server zunutze. Infografik Cyberangriffe aus dem Osten: Hacker visieren deutsche Unternehmen an
Gut getarnt
Das Toolkit, mit dem verschiedene Schwachstellen angegriffen werden, nutzt Steganografie, um ihre bösartige Nutzlast vor Antiviren-Software zu verstecken.Unter Steganografie versteht man das Verstecken von Daten in anderen, nicht geheimen, öffentlichen Informationen oder Computerdateien, wie z. B. Bildern, um einer Entdeckung zu entgehen. So kann ein Hacker eine funktionierende Bilddatei erstellen, die auf dem Computer korrekt angezeigt wird, aber auch bösartigen Code enthält.
Bösartige Malware im Windows-Logo versteckt
Genau das ist nun bei den Angriffen der Witchetty-Gruppe der Fall. Sie haben eine XOR-verschlüsselte Backdoor-Malware in einem alten Windows-Logo-Bitmap-Bild versteckt. Die Datei wird auf einem vertrauenswürdigen Cloud-Dienst gehostet, sodass beim Abrufen der Datei kein Sicherheitsalarm ausgelöst wird."Indem die Angreifer die Nutzlast auf diese Weise tarnten, konnten sie auch auf einem kostenlosen, vertrauenswürdigen Dienst hosten", erklärt Symantec in seinem Bericht: "Downloads von vertrauenswürdigen Hosts wie GitHub schlagen weitaus seltener Alarm als Downloads von einem vom Angreifer kontrollierten Command-and-Control-Server (C&C)." Der Angriff beginnt damit, dass sich die Angreifer zunächst Zugang zu einem Netzwerk verschaffen, indem sie die Angriffsketten Microsoft Exchange ProxyShell und ProxyLogon ausnutzen.
Sobald der Zugriff besteht, kann weiter Malware eingeschleust werden. Es wird vermutet, dass Witchetty enge Verbindungen zu dem staatlich unterstützten chinesischen Bedrohungsakteur APT10 hat. Die Gruppe wird auch mit Angriffen auf US-Energieversorger in Verbindung gebracht. Laut Symantec sind derzeit vor allem staatliche Einrichtungen im Visier der Hacker.
Siehe auch:
- Exchange-Querdenker? - Zehntausende Systeme bleiben angreifbar
- Exchange-Exploit: Microsoft untersucht, wie Hacker an den Code kamen
- Microsofts MSRC-Team stellt Notfall-Tool für Exchange bereit
- Kritik an Microsoft: Hat der Konzern Exchange-Lücke lang verheimlicht?
- Angriff auf Microsoft Exchange entwickelt sich zur globalen Krise
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen