Broadcom’un Symantec’teki tehdit avcısı ekibi, Çin destekli Witchetty ve LookingFrog hacker gruplarının Afrika ve Orta Doğu’daki kuruluşları hedef almak için gelişmiş araç setleri kullandığını gösteren bir uyarı yayınladı.
ESET bu organizasyonu ilk kez Nisan 2022’de tespit etti. Operasyonları, birinci aşama bir arka kapı (X4) ve ikinci aşama bir yük (LookBack) kullanmasıyla ayırt ediliyor.
Symantec, Çin destekli Witchetty isimli hacker grubunu ortaya çıkardı
Witchetty, Symantec’in analizine göre, Stone Panda olarak da bilinen Çinli APT organizasyonu Cicada ve APT10’un yanı sıra TA410 ile de bağlantılı. Bu örgüt daha önce ABD enerji şirketlerine yönelik hedefli saldırılarla ilişkilendirilmişti.
Grubun araç seti sürekli olarak gelişiyor. Şu anda Microsoft Windows logosu altında bir arka kapı (Backdoor.Stegmap) gizlemek için steganografik bir teknik kullanıyor ve Orta Doğu ülkelerini hedef alıyor.
Yeni olmadığı bilinmesine rağmen, bir virüsün bir resim içinde gizlendiği alışılmadık bir yaklaşım. Virüsler, bilgisayarınızdan klasörleri silebilir, oluşturabilir, dosyaları manipüle edebilir, işlem başlatıp, sonlandırabilir, dosyaları veya uygulamaları çalıştırabilir ve verileri çalabilir.
Cicada bu yılın başlarında Japon kuruluşlarını hedefliyordu, ancak şimdi hedef listesini Kuzey Amerika, Asya ve Avrupa’yı içerecek şekilde genişletmiş görünüyor.
Symantec tarafından yapılan açıklama şu şekilde:
“Bir DLL yükleyicisi GitHub deposundan bir bitmap dosyası indiriyor. Dosya sadece eski bir Microsoft Windows logosu gibi görünüyor. Virüs dosyanın içinde gizli ve bir XOR anahtarı ile şifresi çözülüyor.” Broadcom’un Symantec Threat Hunter araştırmacıları tarafından yayınlanan analizi okuyor. “Virüsün bu şekilde gizlenmesi, saldırganların onu ücretsiz ve güvenilir bir hizmette barındırmasına olanak sağlıyor.
Witchetty, ilgilendiği hedefleri tehlikeye atmak için araç setini sürekli olarak iyileştirme ve yenileme becerisini gösteriyor. Herkese açık sunuculardaki güvenlik açıklarından yararlanmak onlara kurumlara girme yolu sağlarken, özel araçlar ve diğer taktiklerinin ustaca kullanımı, hedeflenen kurumlarda uzun vadeli ve kalıcı bir varlık sürdürmesine olanak tanıyor.”
-Symantec
Witchetty hangi yöntemleri kullanıyor?
Bulaşma zinciri, içine kötü amaçlı kod yerleştirilmiş bir Microsoft Windows logosu olan GitHub bitmap dosyasını elde etmek için bir DLL yükleyicisinin kullanılmasını içeriyor. Virüsü gizlemek için kullanılan bu yöntem, saldırganların GitHub gibi güvenilir ve ücretsiz hizmetlerde barınmasını sağlıyor.
Thrax isimli bir hacker, Fast Company’nin Apple News hesabını hackledi
Witchetty, Şubat ve Eylül 2022 arasında iki Orta Doğu ülkesinin yönetimine ve bir Afrika ülkesinin borsasına saldırdı. Grup, CVE-2021-31207, CVE-2021-34473, CVE-2021-34523, CVE-2021-26855 ve CVE-2021-27065 olarak tanımlanan ProxyShell ve ProxyLogon güvenlik açıklarından yararlandı.
Broadcom’un blog yazısına göre, saldırganlar kimlik bilgilerini elde etmeden ve yanal ağ hareketi kazanmadan önce halka açık bilgisayarlara web kabukları yüklüyor.
Witchetty dosyaları, web kabukları, komut yürütme, arka kapı konuşlandırma ve araçlarını kullanarak şifreleri çalmak amacıyla bilgisayarlara kötü amaçlı yazılımlar yerleştiriyor. Bu strateji, kurumsal ağlara sızmasına ve özel araçların diğer kalıcı olma stratejileriyle birleşimi, hedeflenen kuruluşlarda uzun vadeli kalıcılığı sürdürmesine olanak tanıyor.
Symantec, “Witchetty, saldırı yaptığı kurumları tehlikeye atmak için araç setini sürekli olarak iyileştiriyor ve yeniliyor” diyor.
Symantec nedir?
Eski adı Symantec Corporation olan Amerikan yazılım şirketi NortonLifeLock Inc’in merkezi Tempe, Arizona’da bulunuyor. Şirket, siber güvenlik için hizmetler ve yazılımlar sunuyor. Fortune 500 şirketi NortonLifeLock, S&P 500 borsa endeksinin bir bileşeni olma özelliğini taşıyor.