Backdoor in Windows-Logo versteckt

Eine Hackergruppe hat bei Angriffen auf Regierungen Steganografie verwendet, um Schadsoftware über harmlos aussehende Bitmaps nachzuladen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 147 Beiträge
Iranische Hacker sollen Dutzende deutsche Universitäten ausspioniert haben

(Bild: plantic\Shutterstock.com)

Von
  • Achim Barczok

Eine Gruppe von Cyberspionen namens Witchetty Gang setzt bei ihren aktuellen Angriffen auf ungewöhnliche Steganografie-Methoden, um auf infizierten Systemen Malware nachzuladen. Das berichten Sicherheitsexperten von Symantec. Dabei hätten die Hacker bei mehreren Angriffen Code in einem alten Windows-Logo versteckt.

Die Angriffe haben laut dem BEricht zwischen Februar und September stattgefunden, Ziel seien Regierungen von zwei Ländern im Nahen Osten sowie die Börse eines afrikanischen Landes gewesen.

Die Angreifer hatten in einem ersten Schritt verschiedene schon länger bekannte, häufig ausgenutzte Schwachstellen (ProxyShell und ProxyLogon) als Ziel, um sich auf öffentlich zugänglichen Servern unerlaubten Zugriff zu verschaffen. So waren sie in der Lage, dort Anmeldedaten zu stehlen. Nach Eindringen in das System sei in mehreren Schritten Schadsoftware nachgeladen worden, berichten die Sicherheitsexperten bei Symantec.

Unter anderem sei dabei "Backdoor.Stegmap" zum Einsatz gekommen, das mittels Steganografie die Payload der Backdoor in einem harmlosen Bild versteckt; als Bild verwendeten die Angreifer das bunte Windows-7-Logo. Ein DLL-Loader auf dem infizierten System lädt das Bild aus einem GitHub-Repository und entpackt die darin enthaltene Schadsoftware mit einem XOR-Key. Diese nachgeladene Backdoor sei dann unter anderem befähigt gewesen, auf dem Zielsystem Verzeichnisse und Dateien zu kopieren sowie Prozesse zu starten und zu beenden.

Das Perfide an der Technik: So kann man die Payload auf einer kostenlosen, vertrauenswürdigen Plattform wie GitHub veröffentlichen, die im Zielsystem "viel unwahrscheinlicher ein Warnsignal auslöst als der Download von einem von den Angreifern kontrollierten Command-and-Control-Server (C&C)."

Die Witchetty Gang soll laut Newsportal Bleeping Computer der chinesischen Hackergruppe APT10 nahestehen. Die Gruppe sei zum ersten Mal im April 2022 von dem tschechoslowakischen Sicherheitsunternehmen ESET beschrieben worden, berichten die Sicherheitsexperten von Symantec auf ihrem Unternehmensblog.

(acb)