Группа хакеров спрятала вредоносное ПО с помощью стеганографии в логотипе Windows
Группа хакеров спрятала код вредоносного ПО с помощью стеганографии в картинке с логотипом Windows. Это помогло злоумышленникам распространить бэкдор среди многих пользователей, включая корпоративный сегмент.
Эксперты считают, что хакеры специально обновили свой инструментарий для поиска различных уязвимостей и использовали стеганографию, чтобы скрыть свой вредоносный код от антивирусного программного обеспечения в старом растровом изображении логотипа Windows.
Стеганография — это действие по сокрытию данных в другой несекретной общедоступной информации или компьютерных файлах, таких как изображение, чтобы избежать обнаружения. Например, хакер может создать рабочий файл изображения, который правильно отображается на компьютере. Но также этот файл содержит вредоносный код, который можно извлечь из картинки.
Хакеры хранили обработанный логотип Windows с внедрённым зловредом в общедоступных и проверенных облачных сервисах, которым доверяет большинство антивирусных сканеров. Например, данная картинка была размещена и на GitHub. После заражения ПК корпоративных пользователей через уязвимости Microsoft Exchange ProxyShell и ProxyLogon, злоумышленники скачивали этот файл и в локальном режиме извлекали из него нужный код бэкдора. Вредоносное ПО могло выполнять в системе операции с повышенными привилегиями, включая создание файлов и каталогов, управление процессами, изменение реестра и скачивание дополнительных библиотек для продолжения атаки на сеть компании.
Представители ИБ-компаний пояснили, что хакеры в подобной атаке использовали прошлогодние уязвимости в серверной части ОС Windows, чтобы взломать сети компаний. Им в этом помогает низкий уровень администрирования общедоступных серверов многих компаний. Эксперты напомнили, что нужно обязательно ставить последние обновления безопасности для корпоративных IT-систем и блокировать скачивание всех файлов из общедоступных ресурсов, а не только исполняемых или файлов библиотек.