古いMicrosoft Windowsロゴのようなもの

ステガノグラフィーというものがあります。
画像ファイルを用意して、その画像ファイルのなかに他のデータを紛れ込ませます。
出来上がるものは画像ファイルですので侵害環境に運び入れることは難しくありません。そして、そのデータを使って悪事をはたらくという手法です。
ハッキング技術の勉強で見たことがあるという人も多いかもしれない技法ですが、実際にこれが悪用されている事例というのは多くありません。
そんなステガノグラフィーの実際の悪用が観測されています。

中東とアフリカの政府機関が攻撃を受けています。
その活動の中にいくつかの新しいマルウェアが含まれていました。
そのなかに、Backdoor.Stegmapがありました。
名前が示すように、これはバックドアでステガノグラフィーを使用したものになっています。

こんな感じで攻撃されていました。

• 入口はMicrosoft Exchange Server
  始まりはProxyShellとProxyLogonでした。
  CVE-2021-34473、CVE-2021-34523、CVE-2021-31207と、CVE-2021-26855、CVE-2021-27065の悪用です。
  これによって環境を操作できるようになります。
• 画像をダウンロード
  活動を開始したら、次は画像をダウンロードします。
  画像ファイルを画像としてみると古いMicrosoft Windowsロゴの画像に見えるものでした。
  ダウンロード先はGitHubです。
  GitHubから攻撃に使用するツールを持ってくる事例は多く出てきていますが、持ってくるのはあくまでも画像ファイルです。
  GitHubからという点でもそうですし、画像ファイルをダウンロードしているということに対し、危険を察知することは容易ではありません。
• 画像からマルウェア
  画像をXORで復号化するなどの処理を実施します。
  そうするとマルウェアが取り出せます。
  取り出したマルウェアはBackdoor.Stegmapです。

Backdoor.Stegmapは多機能なバックドアです。
ディレクトリ作成、ディレクトリ削除、ファイルコピー、ファイル移動、ファイル削除、プロセスの開始、リモートからファイルをダウンロードして実行する機能、プロセス停止機能、ローカルファイル取得機能、プロセス一覧機能、プロセス強制停止機能、レジストリキー読み取り、レジストリキー作成、レジストリキー変更、レジストリキー削除、などの機能が搭載されています。

この中東の政府を攻撃していた活動は、2022年2月27日から2022年9月1日にかけて活動していたことが確認されています。
一つ一つの攻撃活動要素は検出がしやすいものではないものも含まれますが、これだけの期間がありましたので途中で気が付いて対応することができなかったことが悔やまれます。
自組織の環境が通常状態であるかどうかの監視は重要といえそうです。

しかし、ProxyShellは2021年にあれだけ話題になったのに、対応していなかったのですね。
悲しいです。
今一度身の回りに未対応のものがないかを確認するのがよさそうです。

参考記事（外部リンク）：Witchetty: Group Uses Updated Toolset in Attacks on
Governments in Middle East
symantec-enterprise-blogs.security.com/blogs/threat-intelligence/witchetty-steganography-espionage