ดูเหมือนว่าโลโก้ Windows ที่เป็นสัญลักษณ์จะไม่ปลอดภัยจากมัลแวร์อีกต่อไป (เปิดในแท็บใหม่) เนื่องจากอาชญากรไซเบอร์บางคนสามารถจัดการซ่อนโค้ดที่เป็นอันตรายภายในได้
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Symantec กล่าวว่าพวกเขาตรวจพบแคมเปญดังกล่าวโดยใช้กระบวนการซ่อนโค้ดที่เป็นอันตรายในภาพที่ไม่เป็นอันตราย หรือที่เรียกว่า Steganography
โดยปกติจะทำเพื่อหลีกเลี่ยงการตรวจจับโดยโปรแกรมป้องกันไวรัส เนื่องจากโซลูชันเหล่านี้ไม่ค่อยตรวจพบว่าภาพเป็นอันตราย
มองหารัฐบาล
ในกรณีนี้ กลุ่มที่เกี่ยวข้องกับการโจมตีแบบ Steganography เรียกว่า Witchetty ซึ่งเป็นผู้คุกคามที่รู้จักกันดีซึ่งเชื่อกันว่ามีความเชื่อมโยงอย่างมากกับ Cicada นักแสดงที่ได้รับการสนับสนุนจากรัฐของจีน (AKA APT10) และยังถือว่าเป็นส่วนหนึ่งขององค์กร TA410 ที่โจมตีสหรัฐฯ ผู้ให้บริการพลังงานในสมัยก่อน
กลุ่มได้เปิดตัวแคมเปญล่าสุดในเดือนกุมภาพันธ์ 2022 โดยกำหนดเป้าหมายอย่างน้อยสองรัฐบาลในตะวันออกกลาง
นอกจากนี้ การโจมตีการแลกเปลี่ยนในแอฟริกาจะยังคงดำเนินอยู่ Witchetty ใช้การโจมตีแบบ Steganography เพื่อซ่อนแบ็คดอร์ที่เข้ารหัส XOR ซึ่งโฮสต์บนบริการคลาวด์ ช่วยลดโอกาสในการตรวจจับ ในการวาง webshells บนจุดปลายที่มีช่องโหว่ (เปิดในแท็บใหม่) ผู้โจมตีใช้ช่องโหว่ที่รู้จักใน Microsoft Exchange ProxyShell เพื่อการเข้าถึงเริ่มต้น: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE -2021-26855 และ CVE -2021-27065.
“การซ่อนเพย์โหลดด้วยวิธีนี้ทำให้ผู้โจมตีสามารถโฮสต์บนบริการฟรีและเชื่อถือได้” ไซแมนเทคกล่าว "การดาวน์โหลดจากโฮสต์ที่เชื่อถือได้เช่น GitHub มีโอกาสน้อยที่จะติดธงแดงมากกว่าการดาวน์โหลดจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) ที่ควบคุมโดยผู้โจมตี"
แบ็คดอร์ที่เข้ารหัส XOR ช่วยให้ผู้คุกคามสามารถดำเนินการได้หลายอย่าง รวมถึงการจัดการไฟล์และโฟลเดอร์ การรันและการหยุดกระบวนการ การปรับเปลี่ยนรีจิสทรีของ Windows ดาวน์โหลดมัลแวร์โดยมีค่าใช้จ่ายเพิ่มเติม ขโมยเอกสาร และเปลี่ยนเทอร์มินัลที่ยืนยันบน C2 เซิร์ฟเวอร์ .
ครั้งสุดท้ายที่เราได้ยินเกี่ยวกับจักจั่นคือในเดือนเมษายน พ.ศ. 2022 เมื่อนักวิจัยรายงานว่ากลุ่มนี้ใช้โปรแกรมเล่นสื่อยอดนิยม VLC เพื่อแจกจ่ายมัลแวร์และสายลับไปยังหน่วยงานของรัฐและองค์กรใกล้เคียงที่ตั้งอยู่ในรัฐ แคนาดา ฮ่องกง ตุรกี อิสราเอล , อินเดีย มอนเตเนโกร และอิตาลี
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)