به نظر میرسد که حتی لوگوی نمادین ویندوز نیز دیگر از بدافزار در امان نیست، زیرا برخی از مجرمان سایبری موفق شدند کدهای مخربی را با موفقیت در داخل آن پنهان کنند.
کارشناسان امنیت سایبری در Symantec ادعا میکنند که یکی از کمپینهای نهاننگاری که با استفاده از فرآیند پنهان کردن کدهای مخرب در تصاویر به ظاهر بیضرر، کار خود را جلو میبرند، شناسایی شدهاند.
این روش معمولاً برای جلوگیری از شناسایی توسط برنامههای آنتی ویروس انجام میشود، زیرا چنین برنامههایی به ندرت تصاویر را مخرب تشخیص میدهند.
در این مورد خاص، گروهی که در حملات پنهاننگاری شرکت کرده است، Witchetty نامیده میشود، این گروه یک عامل تهدید شناخته شده که گفته میشود به شدت به دولت چین و گروه مورد حمایت آنها یعنی Cicada مرتبط است و همچنین بخشی از سازمان TA410 محسوب میشود همچنین در گذشته تامینکنندگان انرژی ایالات متحده را هدف قرار داده است. این گروه آخرین کارزار خود را در فوریه 2022 آغاز کرد و حداقل دو دولت در خاورمیانه را هدف قرار داد.
علاوه بر این، حمله به یک بورس اوراق بهادار در آفریقا توسط این گروه همچنان در جریان است. ویچتی از حملات پنهاننگاری برای مخفی کردن یک درپشتی (Back Door) رمزگذاری شده با XOR استفاده کرد که در یک سرویس ابری میزبانی شده بود و شانس تشخیص آن را به حداقل رساند.
کارشناسان Symantec گفتند: مختار کردن محموله کد به این شکل به مهاجمان این امکان را داد که آن را در یک سرویس رایگان و قابل اعتماد میزبانی کنند.
درب پشتی رمزگذاری شده با XOR به عوامل تهدید اجازه میدهد تا چندین کار از جمله دستکاری فایلها و پوشهها، اجرا و خاتمه فرآیندها، بهینه سازی رجیستری ویندوز، دانلود بدافزار اضافی و سرقت اسناد را انجام دهند.
آخرین باری که درباره Cicada شنیدیم در آوریل 2022 بود، زمانی که محققان گزارش دادند که این گروه از پخش کننده رسانه محبوب VLC برای توزیع بدافزار و جاسوسی از سازمانهای دولتی و سازمانهای مجاور واقع در ایالات متحده، کانادا، هنگ کنگ، ترکیه، اسرائیل، هند سوء استفاده کرده است.
