Steganografia, czyli ukrywanie jednej informacji w innej tak, aby pozostała ona niewykryta, znana jest od dość dawna. W ostatnich dniach Symantec poinformował na swoim blogu prowadzonym przez Threat Hunter Team o zidentyfikowaniu interesującego sposobu użycia steganografii przez cyberprzestępców.
Z raportu firmy Symantec wynika, że grupa hakerska nazwana „Witchetty” wykorzystała steganografię do ukrycia backdoora w niepozornie wyglądającym obrazku z logo Windows. Opisana metoda była użyta w atakach prowadzonych od lutego 2022 i skierowanych na cele rządowe w Środkowo-Wschodniej Azji oraz giełdę w jednym z krajów Afryki. Backdoor ukryty był w pliku graficznym za pomocą prostego szyfru XOR. Sam plik był zaś hostowany na GitHubie, co miało utrudnić wykrycie malware’u systemom bezpieczeństwa bazującym na reputacji adresów IP. Pobranie backdoora poprzedzone było kompromitacją publicznie dostępnych serwerów Exchange za pomocą podatności ProxyShell oraz ProxyLogon i instalację na nich webshella. Złośliwe oprogramowanie umożliwiało m.in wykonywanie operacji na plikach i katalogach, tworzenie, listowanie, zamykanie procesów, modyfikowanie rejestru, pobieranie dodatkowych modułów oraz eksfiltrację danych.
