駭客藏匿惡意程式於Windows商標中

2022 / 10 / 24

編輯部

美國資安公司賽門鐵克發布警告，駭客組織Witchetty於2022年2月開始針對中東2個政府與1家非洲證券交易所進行攻擊，且攻擊仍持續中。Witchetty被認為與中國駭客組織APT10之關係密切，亦被認為是駭客組織TA410之一部分，與針對美國能源供應商之攻擊有關。

此次攻擊中，駭客不僅更新工具以針對不同漏洞進行攻擊，且使用隱寫術(Steganography)將惡意程式碼隱藏於圖片中。駭客所利用之圖片為舊Windows商標，使用隱寫術將修改過之圖片放於Github或其他雲端服務，並非放置於中繼站，以降低下載時被阻擋之機率。

此次駭客利用Microsoft Exchange ProxyShell與ProxyLogon漏洞於受駭伺服器上放置Web Shell，下載並解碼修改過之圖片後即可透過漏洞進行攻擊。駭客可修改目錄與複製刪除檔案，啟動或關閉程式，修改Windows登錄檔，以及竊取機敏資料等。

TA410與Witchetty仍對亞洲、非洲及全球政府與國家組織造成威脅，防止其攻擊之最佳方法為針對發布之安全更新時及時進行安裝。

本文轉載自NCCST。

隱寫術 Steganography Witchetty APT10 ProxyLogon Github