Hacker nutzen Windows-Logo als Tarnung für Malware

30.09.2022 21:02 Uhr Lurker

Eine Hackergruppe namens Witchetty hat es auf Regierungen im Nahen Osten abgesehen. Um ihre Opfer zu infizieren, nutzen sie eine Bilddatei mit einem Windows-Logo, in der eine Backdoor versteckt ist. Die Malware tarnt sich erfolgreich als harmloses Bild und kann so unerkannt auf den Systemen der Opfer agieren.

Witchetty: Eine Hackergruppe mit chinesischen Verbindungen

Die Hackergruppe Witchetty ist dem Symantec Threat Hunter Team von Broadcom zufolge eine Untergruppe der TA410 mit engen Verbindungen zum chinesischen Bedrohungsakteur Cicada (APT10). Im April 2022 wurde sie erstmals von ESET dokumentiert. Seit Februar 2022 betreibt sie eine neue Cyberspionage-Kampagne gegen Regierungen im Nahen Osten und eine Börse in Afrika.

Backdoor in einer verschlüsselten Bitmap versteckt

Neben der LookBack-Backdoor nutzt Witchetty ebenfalls die Backdoor.Stegmap die Steganografie nutzt um eine verschlüsselte Nutzlast aus einem Bitmap-Bild zu extrahieren. Diese Methode ist äußerst effektiv um schadhaften Code in harmlos erscheinenden Bildern zu verstecken. Die verschlüsselte Nutzlast wird auf einem vertrauenswürdigen Dienst wie GitHub gespeichert und im Angriffsfall von dort abgerufen.

Alte Sicherheitslücken werden ausgenutzt

Die Angreifer nutzen bekannte Sicherheitslücken wie Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207) oder ProxyLogon (CVE-2021-26855 und CVE-2021-27065) aus um Webshells auf anfälligen Servern abzulegen. Anschließend wird die Bilddatei mit der Backdoor heruntergeladen und entschlüsselt.

Hacker-Werkzeugkasten

Witchetty nutzt auch benutzerdefinierte Tools wie ein Proxy-Dienstprogramm, einen Port-Scanner und ein Persistenz-Dienstprogramm. Mimikatz und Windows-Bordmittel wie CMD, WMIC und PowerShell gehören ähnlich wie zum Werkzeugkasten der Hacker.

Empfehlung: Systeme immer auf dem neusten Stand halten

Da die ausgenutzten Sicherheitslücken schon bekannt und älter sind, scheinen die Hacker vorrangig Windows-Systeme anzugreifen, deren Administratoren die Installation von Sicherheitsupdates vernachlässigt haben. Es empfiehlt sich daher » Systeme immer auf dem neusten Stand zu halten « um solche Angriffe zu verhindern.

Kommentare

Ähnliche News

SparklingGoblin: Neue Linux-Variante von SideWalk im Einsatz

SparklingGoblin: China-Hacker nutzen Linux-Variante von SideWalk

Die chinesische Hackergruppe SparklingGoblin nutzt eine spezielle Linux-Variante der Backdoor SideWalk um gezielt akademische Ziele anzugreifen. Die Sicherheitsforscher von ESET berichten – dass SideWalk lediglich eines der vielen Tools im Arsenal der Hacker ist.

Microsofts IIS-Webserver als Einfallstor für Malware

IIS: Über Microsofts Webserver eine Malware einschleusen? Geht!

Eine neue Methode zur Steuerung von Malware über Microsofts Internet Information Services (IIS) wurde von der Hackergruppe Cranefly entwickelt.

Manipulierte PuTTY-Version ermöglicht Verbreitung von Malware durch Hacker

PuTTY: Hacker verteilen Malware durch manipuliertes SSH-Tool

Eine Gruppe von Hackern die Verbindungen nach Nordkorea aufweisen, verwendet eine manipulierte Version des SSH-Tools PuTTY um Malware auf den Geräten ihrer Opfer zu verbreiten.

Die Lazarus Hacker: Eine Bedrohung für Europa

Lazarus Hacker bringen ihren eigenen Dell-Treiber mit zur Party

Die nordkoreanische Hackergruppe Lazarus hat erneut zugeschlagen und dieses Mal Ziele in Europa ins Visier genommen. Die Gruppe ist für ihre Cyberspionage-Aktivitäten bekannt und setzt dabei auf ausgeklügelte Angriffstechniken und hochentwickelte Malware.

LofyGang – Die gefährliche Hackergruppe, die Discord-Nutzer mit Nitro lockt

LofyGang Hacker locken Discord-User mit Nitro

Eine Hackergruppe namens LofyGang ist derzeit dafür bekannt, durch manipulierte Hacking-Tools und NPM-Pakete in erster Linie Kreditkartendaten und Anmeldeinformationen von Nutzern zu stehlen. Insbesondere Discord-User sollten aufgrund der aktuellen Warnungen besonders wachsam sein.