Логотип Windows оказался не защищён от вредоносного ПО
Логотип Windows оказался не защищён от вредоносного ПО. Фото: СС0
Эксперты по кибербезопасности из компании Symantec утверждают, что обнаружили одну из таких кампаний, в которой использовался процесс сокрытия вредоносного кода в безвредных изображениях. Он известен как стеганография.
Обычно это делается, чтобы избежать обнаружения антивирусными программами, поскольку такие решения редко определяют изображения как вредоносные.
В данном конкретном случае группа, участвующая в стеганографических атаках, называется Witchetty. В феврале 2022 года она была замечена в атаке минимум на два правительства на Ближнем Востоке.
Witchetty использовала метод, чтобы скрыть бэкдор с шифрованием XOR, который был размещен в облачном сервисе. Это свело к минимуму шансы на обнаружение. Чтобы сбросить веб-шеллы на уязвимые конечные точки, злоумышленники использовали известные бреши Microsoft Exchange ProxyShell для первоначального доступа: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 и CVE-2021-27065.
Из сообщения Symantec:
«Маскировка полезной нагрузки таким образом позволила злоумышленникам разместить ее на бесплатном доверенном сервисе. Загрузки с доверенных хостов, таких как GitHub, гораздо реже вызывают тревогу, чем загрузки с сервера управления и контроля (C&C), контролируемого злоумышленником».
Бэкдор с шифрованием XOR позволяет злоумышленникам выполнять ряд действий, в том числе вмешиваться в файлы и папки, запускать и завершать процессы, вносить изменения в реестр Windows, загружать дополнительное вредоносное ПО, красть документы, а также превращать скомпрометированную конечную точку в сервер C2.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было