Broadcomは9月29日(米国時間)、「Witchetty: Group Uses Updated Toolset in Attacks on Governments in Middle East|Broadcom Software Blogs」において、サイバー犯罪者グループが新たなツールセットを使用して中東の政府機関などに対して攻撃を行っていると伝えた。2022年2月から9月にかけて「Witchetty」と呼ばれているサイバー犯罪者グループが、Windowsロゴにペイロードを隠すという攻撃手法をとっていることが明らかとなった。

  • Witchetty: Group Uses Updated Toolset in Attacks on Governments in Middle East|Broadcom Software Blogs

    Witchetty: Group Uses Updated Toolset in Attacks on Governments in Middle East|Broadcom Software Blogs

Witchettyは2022年4月にESETによって初めて文書化され、持続的標的型攻撃(APT: Advanced Persistent Threat)グループ「Cicada(別名APT10)」と関わりがあるされているサイバー犯罪者グループ。「X4」および「LookBack」と呼ばれるマルウェアを使うことが確認されており、政府、外交団、慈善団体、製造業を標的にスパイ活動を行っていることが判明している。

今回X4およびLookBackに加え、さらに新しいマルウェアおよびツールが攻撃に使われていることが明らかとなった。その一つが、ステガノグラフィを利用してビットマップイメージ(古いWindowsのロゴ)からペイロードを抽出する「Backdoor.Stegmap」とされている。

  • The image that the attackers used to hide the payload|Broadcom Software Blogs

    The image that the attackers used to hide the payload|Broadcom Software Blogs

その他、次のような新たなツールが使われているという。

  • カスタムプロキシユーティリティ - 感染したコンピュータはサーバとして機能し、コマンド&コントロール(C2: Command and Control) サーバと接続する
  • カスタムポートスキャナ - サブネット内のネットワーク ポートをスキャン
  • カスタム永続性ユーティリティ - 自動起動させるため、レジストリのオートスタートに「NVIDIA display core component」というプログラム名を追加

攻撃者はProxyShell(CVE-2021-34473CVE-2021-34523CVE-2021-31207)およびProxyLogon(CVE-2021-26855CVE-2021-27065)の脆弱性を悪用して認証情報を盗み、ネットワーク上を横移動して他のコンピュータにマルウェアをインストールしていたとされている。

Broadcomは、Witchettyが標的を攻撃するためにツールセットを継続的に改良し、更新する能力を備えていると指摘。サーバの脆弱性を悪用することで組織への侵入経路を確保し、カスタムツールを巧みに利用することで標的とする組織に対して長期的かつ持続的な活動を行っていると結論付けている。