Peretas Sembunyikan Malware di Logo Windows dan Targetkan Pemerintah Timur Tengah
illustrasi
Cyberthreat.id – Peneliti keamanan dari Broadcom mengungkapkan sebuah kelompok peretasan yang dijuluki 'Witchetty' telah diamati menggunakan teknik steganografi untuk menyembunyikan pintu belakang di logo Windows dan menargetkan pemerintah Timur Tengah.
Dikutip dari Info Security Magazine, Witchetty (alias LookingFrog) diyakini memiliki koneksi ke aktor ancaman China yang didukung negara APT10 serta dengan operasi TA410, sebuah kelompok yang sebelumnya terkait dengan serangan terhadap penyedia energi AS. Sementara grup terus menggunakan pintu belakang LookBack, Broadcom mengamati bahwa beberapa jenis malware baru tampaknya telah ditambahkan ke perangkatnya.
Witchetty pertama kali ditemukan oleh ESET pada April 2022, dengan aktivitasnya yang ditandai dengan penggunaan pintu belakang tahap pertama yang dikenal sebagai X4 dan muatan tahap kedua yang dikenal sebagai LookBack.
“Kelompok spionase Witchetty telah secara progresif memperbarui perangkatnya, menggunakan malware baru dalam serangan terhadap target di Timur Tengah dan Afrika,” kata para peneliti.
Di antara alat baru yang digunakan oleh grup tersebut adalah Trojan backdoor (Backdoor.Stegmap) yang menggunakan steganografi, teknik yang jarang terlihat di mana kode berbahaya disembunyikan di dalam gambar.
Selanjutnya, para penyerang yang diamati oleh Broadcom antara Februari dan September 2022 mengeksploitasi kerentanan ProxyShell dan ProxyLogon untuk memasang shell web di server yang menghadap publik. Itu kemudian mencuri kredensial, pindah secara lateral melintasi jaringan dan menginstal malware di komputer lain.
“Witchetty telah menunjukkan kemampuan untuk terus menyempurnakan dan menyegarkan perangkatnya untuk mengkompromikan target yang diinginkan,” tulis Broadcom.
Eksploitasi kerentanan pada server yang menghadap publik menyediakannya dengan rute ke dalam organisasi. Sementara alat khusus yang dipasangkan dengan penggunaan taktik on-off-the-land yang mahir memungkinkannya untuk mempertahankan kehadiran jangka panjang dan persisten di organisasi yang ditargetkan.
Laporan dari Broadcom ini diterbitkan beberapa bulan setelah peneliti CloudSEK menemukan kampanye phishing ekstensif di mana pelaku ancaman menyamar sebagai Kementerian Sumber Daya Manusia pemerintah UEA.
