WhiskerSpy Backdoor

Изследователите на киберсигурността са открили нова задна врата, известна като WhiskerSpy, която е внедрена от сравнително нова, но напреднала група за заплахи, наречена Earth Kitsune. Тази група стана добре известна с това, че се насочва към лица, които са показали интерес към Северна Корея.

За да осъществи своята атака, групата Earth Kitsune е използвала метод, известен като watering hole attack, който е доказана и ефективна тактика за получаване на достъп до системата на целта. При тази атака участниците в заплахата идентифицират уебсайт, който често се посещава от тяхната целева аудитория, и го заразяват със зловреден софтуер, който им позволява да получат достъп до устройствата на посетителите, когато посещават сайта. В този конкретен случай уебсайтът, който беше компрометиран, е про-севернокорейски уебсайт, който често се посещава от хора, които се интересуват от страната.

Изследователите по сигурността наблюдават дейностите на Earth Kitsune от 2019 г. и откриха тази последна кампания към края на предходната година. Това откритие е важно, тъй като подчертава факта, че дори сравнително нови участници в заплахата стават все по-напреднали и представляват значителна заплаха както за отделни лица, така и за организации.

Инфекцията WhiskerSpy използва тактика за атака на водопой

Задната врата на WhiskerSpy се доставя на посетители, които се опитват да гледат видеоклипове на компрометиран уебсайт. Нападателят е инжектирал повреден скрипт в уебсайта, който подканва посетителите да инсталират видео кодек, който се предполага, че е необходим за стартиране на показаното видео съдържание. За да избегне откриването, атакуващият модифицира легитимен инсталатор на кодек, така че в крайна сметка да зареди невиждана преди това задна врата в системата на жертвата.

Според изследователите участниците в заплахата са били насочени само към посетители на уебсайта, които са имали IP адреси от Шенян, Китай, Нагоя, Япония и Бразилия. Подозира се, че Бразилия е била използвана за тестване на атаката с водопой чрез VPN връзка, а истинските цели са били посетители от двата града в Китай и Япония. Съответните жертви ще получат фалшиво съобщение за грешка, което ги подканва да инсталират кодек, за да гледат видеоклипа. Въпреки това, кодекът в действителност беше изпълним файл на MSI, който инсталираше шелкод на компютъра на жертвата, задействайки серия от команди на PowerShell, които в крайна сметка внедриха задната врата на WhiskerSpy.

В тази кампания Earth Kitsune използва няколко техники за постоянство, за да остане незабелязан. Един такъв метод е злоупотребата с основния хост за съобщения в Google Chrome, който е инсталирал компрометирано разширение за Google Chrome, наречено Google Chrome Helper. Разширението позволи изпълнението на полезния товар при всяко стартиране на браузъра. Друга използвана техника използва уязвимостите при странично зареждане на OneDrive, което позволява премахването на опасен файл (фалшив „vcruntime140.dll“) в директорията на OneDrive.

WhiskerSpy има обширен списък от заплашителни функции

WhiskerSpy е последният полезен товар, разгърнат като част от кампанията за атака на Earth Kitsune. Задната вратичка предоставя на отдалечените оператори различни възможности, като например интерактивна обвивка, възможност за изтегляне, качване и изтриване на файлове, изброяване на файлове, правене на екранни снимки, зареждане на изпълними файлове и инжектиране на shellcode в процес.

За да поддържа комуникация със сървъра за командване и контрол (C2, C&C), WhiskerSpy използва 16-байтов AES ключ за криптиране. Задната врата периодично се свързва със сървъра C2, за да получава актуализации за състоянието си и сървърът може да отговори с инструкции за злонамерения софтуер, като например изпълнение на команди на обвивката, инжектиране на код в друг процес, ексфилтриране на конкретни файлове или правене на екранни снимки.

Изследователите са открили по-ранна версия на WhiskerSpy, която използва FTP протокола вместо HTTP за C2 комуникация. Този по-стар вариант също проверява за наличието на дебъгер при изпълнение и информира C2 за подходящия код на състоянието. Тези констатации подчертават постоянната еволюция на зловреден софтуер, тъй като нападателите адаптират и усъвършенстват своите инструменти и техники, за да избегнат откриването и да увеличат ефективността си. Той подчертава необходимостта от стабилни и актуални мерки за сигурност за защита срещу подобни заплахи.