La grande image: Backdoor.Stegmap est une puissante porte dérobée cachée dans un simple fichier d’image de logo Windows via un cryptage basé sur la stéganographie. Les cybercriminels chinois travaillent dur avec des techniques nouvelles et anciennes pour compromettre en permanence des cibles gouvernementales et diplomatiques de haut niveau.

Les campagnes basées sur des logiciels malveillants se transforment en menaces de plus en plus complexes capables de cibler plusieurs appareils et systèmes d’exploitation. De nouvelles techniques et « astuces » sont ajoutées en permanence, tandis que des solutions déjà connues ont tendance à refaire surface de temps en temps. La stéganographie, bien qu’elle ne soit ni un roman ni une technique populaire pour cacher des données dans des images, est en effet utilisée dans une nouvelle campagne d’espionnage par un groupe connu sous le nom de Witchetty.

Le trait de signature de Backdoor.Stegmap, en tant qu’équipe Threat Hunter de Symantec rapports, est un code malveillant qui se cache dans un ancien logo familier du système d’exploitation Windows de Microsoft. L’image du logo est hébergée sur un référentiel GitHub, un service gratuit et de confiance qui est beaucoup moins susceptible de lever un drapeau rouge par rapport aux serveurs traditionnels de commande et de contrôle (C&C) utilisés par les cybercriminels.

Lorsqu’un chargeur DLL télécharge le logo susmentionné sur un système compromis, la charge utile cachée dans le fichier image est déchiffrée avec une clé XOR. S’il est exécuté avec succès, le cheval de Troie Backdoor.Stegmap peut ouvrir une porte dérobée complète capable de créer des fichiers et des répertoires, de démarrer ou de tuer des processus, de modifier le registre Windows, de télécharger de nouveaux exécutables et plus encore.

Selon les chercheurs de Symantec, la campagne basée sur Backdoor.Stegmap menée par le groupe de cyberespionnage Witchetty (également connu sous le nom de LookingFrog) est active depuis février 2022, ciblant deux gouvernements du Moyen-Orient et la bourse d’un pays africain.

Les attaquants ont exploité des vulnérabilités déjà connues (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, CVE-2021-27065) pour installer des shells Web sur des serveurs publics afin de voler des informations d’identification, se déplacer sur les réseaux et installer des logiciels malveillants sur d’autres ordinateurs.

Witchetty est apparue pour la première fois sous les projecteurs en avril 2022, lorsqu’ESET a identifié la menace comme l’un des sous-groupes de TA410, une opération de cyberespionnage liée au groupe chinois parrainé par l’État connu sous le nom de Cicada/APT10. Équipé d’un riche ensemble d’outils de fonctionnalités malveillantes croissantes, Witchetty est connu pour cibler les gouvernements, les missions diplomatiques, les organisations caritatives et les organisations industrielles.

Le cheval de Troie de stéganographie Backdoor.Stegmap est en effet un ajout récent à l’ensemble d’outils susmentionné, tandis que les nouveaux outils employés par le groupe incluent un utilitaire proxy personnalisé, un scanner de port et un « utilitaire de persistance » qui s’ajoute à la section de démarrage automatique du registre. caché derrière le surnom « NVIDIA display core component ».

Symantec affirme que Witchetty a montré sa capacité à « affiner et actualiser en permanence son ensemble d’outils afin de compromettre les cibles d’intérêt » afin de maintenir une présence persistante à long terme dans les organisations concernées.