Des payloads camouflés dans des images sévissent malheureusement encore et toujours. Après la découverte début septembre d'un malware caché derrière des images du télescope James Webb par Securonix, c'est au tour de Symantec de découvrir un piratage encore plus pernicieux. Dans un billet de blog, les chercheurs en sécurité de l'éditeur américain ont en effet alerté de l'utilisation par le cybergang Witchetty (aka LookingFrog) d'un trojan de type backdoor qui utilise une technique sténographique qu'ils estiment rarement vue jusqu'à présent. Les cibles visées par ce logiciel malveillant sont des gouvernements du Moyen-Orient ainsi que le marché boursier d'un pays africain. « Witchetty a démontré sa capacité à affiner et actualiser en permanence sa trousse à outils afin de compromettre les cibles d'intérêt. L'exploitation des vulnérabilités sur les serveurs publics lui fournit une voie vers les organisations, tandis que des outils personnalisés associés à une utilisation habile de tactiques lui permettent de maintenir une présence persistante à long terme dans les organisations ciblées », indique Symantec.

L'opérateur malveillant Witchetty emploie deux malware : une porte dérobée (X4) et une charge utile (payload) connue en tant que LookBack. Plus globalement, ce cybergang s'en prend aussi à des missions diplomatiques, des organisations caritatives ainsi que des groupes industriels ou de fabrication. Selon Symantec, ce dernier a étoffé sa porte dérobée d'un module stéganographique, Backdoor.Stegmap, pour extraire sa charge utile depuis une image bitmap. « Bien que rarement utilisée par les attaquants, si elle est exécutée avec succès, la stéganographie peut être utilisée pour dissimuler un code malveillant dans des fichiers image apparemment inoffensifs », explique Symantec. « Un chargeur DLL télécharge un fichier bitmap à partir d'un référentiel GitHub. Le fichier semble être simplement un ancien logo Microsoft Windows. Cependant, la charge utile est cachée dans le fichier et est déchiffrée avec une clé XOR ».

Les failles ProxyShell et ProxyLogon exploitées

La charge utile est capable d'exécuter des commandes variées, incluant aussi bien la création ou du déplacement de répertoires, de la copie et de l'effacement de fichiers, du démarrage de processus, de télécharger et de lancer un exécutable, ou encore de créer, modifier et effacer des clés de registre. Symantec n'a pas précisé si les organisations visées ont fait l'objet de vol et de téléchargement de données ou d'informations sensibles. Parmi les outils ajoutés, on trouve aussi un utilitaire de proxy et un analyseur de ports réseau personnalisés. « Les attaquants ont exploité les vulnérabilités ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207) et ProxyLogon (CVE-2021-26855 et CVE-2021-27065) pour installer des web shells sur des serveurs publics avant de voler des informations d'identification, de se déplacer latéralement sur les réseaux et d'installer des logiciels malveillants sur d'autres ordinateurs », explique Symantec. Pour ne pas être vulnérable à ces failles, des correctifs ont été diffusés et doivent donc être appliqués.

L'éditeur a par ailleurs précisé la timeline de l'attaque que le premier signe d'activité malveillante s'est produit le 27 février 2022 lorsque les attaquants ont exploité la vulnérabilité ProxyShell pour vider la mémoire du processus LSASS (Local Security Authority Subsystem Service) à l'aide du fichier comsvcs.dll. « Entre le 7 et le 9 mai, les attaquants ont vérifié la politique d'exécution de PowerShell, puis ont exécuté la porte dérobée LookBack et l'ont enregistrée en tant que tâche planifiée sur le serveur », explique l'éditeur. « Entre le 14 et le 18 juin, les attaquants ont utilisé Mimikatz pour vider les mots de passe de la mémoire LSASS. Ils ont ensuite enregistré le SAM dans un emplacement distant, avant de lancer un fichier PowerShell nommé "a.ps1", de créer une nouvelle boîte aux lettres et d'utiliser la commande "makecab" pour compresser certains fichiers, probablement à des fins d'exfiltration ». L'exploit ProxyLogon, utilisé pour installer le web shell China Chopper, a été suivi pour du déplacement latéral, de la découverte réseau avant exécution de la porte dérobée. « Le dernier signe d'activité malveillante s'est produit le 1er septembre, lorsque les attaquants ont téléchargé des fichiers distants, décompressé un fichier ZIP avec un outil de déploiement, exécuté des scripts PowerShell distants et exécuté l'outil proxy personnalisé pour contacter les serveurs C&C », explique Symantec.