Des pirates cachent une porte dérobée dans une image qui représente le logo Windows
Une campagne malveillante initiée par le groupe de cybercriminels Witchetty s'appuie sur la stéganographie pour cacher une porte dérobée dans une image du logo Windows.
L'entreprise Symantec a mis en ligne un nouveau rapport qui évoque une campagne malveillante initiée en février 2022 par les pirates du groupe Witchetty (surnommé aussi LookingFrod), ce dernier étant soupçonné d'avoir des liens étroits avec le groupe chinois APT10. Dans cette campagne, les cybercriminels ciblent différentes vulnérabilités et ils s'appuient sur la stéganographie pour diffuser la souche malveillante sans être détectés par les antivirus. Grâce à cette technique, le malware est intégré dans un fichier image qui, à première vue, semble inoffensif et dans le cas présent, il s'agit d'un logo de Windows au format Bitmap.
D'après Symantec, le logo de Windows s'affiche correctement, mais il contient une porte dérobée chiffrée avec la méthode XOR. Preuve que cette technique est difficile à détecter, le fichier image est hébergé sur GitHub, plutôt que sur l'infrastructure des pirates informatiques. "En déguisant la charge utile de cette manière, les attaquants ont pu l'héberger sur un service gratuit et fiable. Les téléchargements à partir d'hôtes de confiance tels que GitHub sont beaucoup moins susceptibles de déclencher des alertes que les téléchargements à partir d'un serveur de commande et de contrôle (C&C) piloté par un attaquant.", précise Symantec.
ProxyLogon et ProxyShell comme point d'entrée
Néanmoins, cette image n'est pas utilisée comme vecteur d'infection initial puisque les pirates cherchent d'abord à exploiter des vulnérabilités bien connues et qui touchent les serveurs Exchange. Non, je ne fais pas référence aux deux failles zero-day qui viennent d'être révélées, mais plutôt aux vulnérabilités ProxyLogon et ProxyShell. D'ailleurs, d'autres sources malveillantes telles que des ransomwares apprécient également ces vulnérabilités pour compromettre les infrastructures.
Une fois l'infrastructure compromise, les cybercriminels mettent en place la porte dérobée qui se cache dans le logo Windows. Grâce à elle, ils sont mesure de réaliser diverses actions : gérer les fichiers et les dossiers ; démarrer, lister et tuer les processus ; modifier le Registre Windows ; exfiltrer des données ou encore télécharger des charges malveillantes et des outils additionnels (Mimikatzand, par exemple).