一群黑客被发现使用旧的Windows标志来帮助传播恶意软件政府目标。
作为登记册报告(在新窗口打开)在美国,Witchetty间谍组织(也被称为LookingFrog)使用一系列工具来攻击政府、外交使团、慈善机构和工业/制造业组织。最近,赛门铁克的威胁猎人团队发现(在新窗口打开)该组织已经开始采用一种新的“罕见的”隐写技术,将恶意代码隐藏在图像中。
Witchetty使用的图像是一个旧Windows logo的位图,它携带的恶意代码是一个后门木马(backdoor . stegmap),能够执行一系列系统命令。通过将恶意有效负载伪装成图像,可以将其隐藏在免费且受信任的服务上,同时避免被检测为安全威胁。在这种情况下,witchtty将位图托管在GitHub上。
这张照片显然是在目标被入侵后从GitHub下载的。一旦存储在被攻击的网络中,有效载荷就可以被解压缩(“用异或密钥解密”),并用于进一步的系统渗透。一次成功的攻击可以让Witchetty“在面向公众的服务器上安装web shell”。之后,他们可以窃取凭证,并开始在组织的网络中安装其他恶意软件。
赛门铁克表示,巫术最新的工具集,包括这种隐写技术,已经被用于中东的两个政府机构和非洲的一家证券交易所。赛门铁克将该组织视为一个有能力的威胁行为者,他们“展示了不断改进和更新其工具集的能力,以破坏感兴趣的目标。”