Sicherheitsforscher haben einen neuen Trick entdeckt, mit dem eine Hackergruppe namens "Witchetty" PC-Nutzern eine Spähsoftware unterjubelt. Genutzt wird dabei ein Bildverschlüsselungsverfahren und ein Bild eines Windows-Logos.
Das berichtet das Online-Magazin Bleeping Computer. Gemeldet wurde die neue Bedrohung von den Sicherheitsspezialisten von Symantec.
In der von Symantec entdeckten Kampagne nutzen die Hacker Schwachstellen aus dem letzten Jahr aus, um in das Zielnetzwerk einzudringen, und machen sich dabei die mangelhafte Verwaltung der öffentlich zugänglichen Server zunutze.
Gut getarnt
Das Toolkit, mit dem verschiedene Schwachstellen angegriffen werden, nutzt Steganografie, um ihre bösartige Nutzlast vor Antiviren-Software zu verstecken.
Unter Steganografie versteht man das Verstecken von Daten in anderen, nicht geheimen, öffentlichen Informationen oder Computerdateien, wie z. B. Bildern, um einer Entdeckung zu entgehen. So kann ein Hacker eine funktionierende Bilddatei erstellen, die auf dem Computer korrekt angezeigt wird, aber auch bösartigen Code enthält.
Bösartige Malware im Windows-Logo versteckt
Genau das ist nun bei den Angriffen der Witchetty-Gruppe der Fall. Sie haben eine XOR-verschlüsselte Backdoor-Malware in einem alten Windows-Logo-Bitmap-Bild versteckt. Die Datei wird auf einem vertrauenswürdigen Cloud-Dienst gehostet, sodass beim Abrufen der Datei kein Sicherheitsalarm ausgelöst wird.
"Indem die Angreifer die Nutzlast auf diese Weise tarnten, konnten sie auch auf einem kostenlosen, vertrauenswürdigen Dienst hosten", erklärt Symantec in seinem Bericht: "Downloads von vertrauenswürdigen Hosts wie GitHub schlagen weitaus seltener Alarm als Downloads von einem vom Angreifer kontrollierten Command-and-Control-Server (C&C)." Der Angriff beginnt damit, dass sich die Angreifer zunächst Zugang zu einem Netzwerk verschaffen, indem sie die Angriffsketten Microsoft Exchange ProxyShell und ProxyLogon ausnutzen.
Sobald der Zugriff besteht, kann weiter Malware eingeschleust werden. Es wird vermutet, dass Witchetty enge Verbindungen zu dem staatlich unterstützten chinesischen Bedrohungsakteur APT10 hat. Die Gruppe wird auch mit Angriffen auf US-Energieversorger in Verbindung gebracht. Laut Symantec sind derzeit vor allem staatliche Einrichtungen im Visier der Hacker.
Quelle; winfuture
Du musst Regestriert sein, um das angehängte Bild zusehen.
Das berichtet das Online-Magazin Bleeping Computer. Gemeldet wurde die neue Bedrohung von den Sicherheitsspezialisten von Symantec.
In der von Symantec entdeckten Kampagne nutzen die Hacker Schwachstellen aus dem letzten Jahr aus, um in das Zielnetzwerk einzudringen, und machen sich dabei die mangelhafte Verwaltung der öffentlich zugänglichen Server zunutze.
Gut getarnt
Das Toolkit, mit dem verschiedene Schwachstellen angegriffen werden, nutzt Steganografie, um ihre bösartige Nutzlast vor Antiviren-Software zu verstecken.
Unter Steganografie versteht man das Verstecken von Daten in anderen, nicht geheimen, öffentlichen Informationen oder Computerdateien, wie z. B. Bildern, um einer Entdeckung zu entgehen. So kann ein Hacker eine funktionierende Bilddatei erstellen, die auf dem Computer korrekt angezeigt wird, aber auch bösartigen Code enthält.
Bösartige Malware im Windows-Logo versteckt
Genau das ist nun bei den Angriffen der Witchetty-Gruppe der Fall. Sie haben eine XOR-verschlüsselte Backdoor-Malware in einem alten Windows-Logo-Bitmap-Bild versteckt. Die Datei wird auf einem vertrauenswürdigen Cloud-Dienst gehostet, sodass beim Abrufen der Datei kein Sicherheitsalarm ausgelöst wird.
"Indem die Angreifer die Nutzlast auf diese Weise tarnten, konnten sie auch auf einem kostenlosen, vertrauenswürdigen Dienst hosten", erklärt Symantec in seinem Bericht: "Downloads von vertrauenswürdigen Hosts wie GitHub schlagen weitaus seltener Alarm als Downloads von einem vom Angreifer kontrollierten Command-and-Control-Server (C&C)." Der Angriff beginnt damit, dass sich die Angreifer zunächst Zugang zu einem Netzwerk verschaffen, indem sie die Angriffsketten Microsoft Exchange ProxyShell und ProxyLogon ausnutzen.
Sobald der Zugriff besteht, kann weiter Malware eingeschleust werden. Es wird vermutet, dass Witchetty enge Verbindungen zu dem staatlich unterstützten chinesischen Bedrohungsakteur APT10 hat. Die Gruppe wird auch mit Angriffen auf US-Energieversorger in Verbindung gebracht. Laut Symantec sind derzeit vor allem staatliche Einrichtungen im Visier der Hacker.
Quelle; winfuture
Das sind auch nur arme Hacker
