WhiskerSpy Backdoor

Výzkumníci v oblasti kybernetické bezpečnosti odhalili nová zadní vrátka známá jako WhiskerSpy, která byla nasazena relativně novou, ale pokročilou skupinou hrozeb jménem Earth Kitsune. Tato skupina se stala známou tím, že se zaměřuje na jednotlivce, kteří projevili zájem o Severní Koreu.

K provedení svého útoku skupina Earth Kitsune využila metodu známou jako útok na vodní díru, což je osvědčená a účinná taktika pro získání přístupu do systému cíle. V tomto útoku aktéři hrozby identifikují webovou stránku, kterou často navštěvuje jejich cílové publikum, a infikují ji malwarem, který jim umožňuje získat přístup k zařízením návštěvníků, když web navštíví. V tomto konkrétním případě je napadeným webem proseverokorejský web, který často navštěvují jednotlivci, kteří se o tuto zemi zajímají.

Bezpečnostní výzkumníci monitorují aktivity Earth Kitsune od roku 2019 a tuto nejnovější kampaň objevili koncem předchozího roku. Tento objev je významný, protože zdůrazňuje skutečnost, že i relativně noví aktéři hrozeb jsou stále pokročilejší a představují významnou hrozbu pro jednotlivce i organizace.

WhiskerSpy Infection používá taktiku útoku na zalévací díru

WhiskerSpy backdoor je poskytován návštěvníkům, kteří se pokoušejí sledovat videa na kompromitovaném webu. Útočník vložil na web poškozený skript, který návštěvníky vyzývá k instalaci video kodeku, který je údajně nutný ke spuštění zobrazeného video obsahu. Aby se útočník vyhnul odhalení, upravil legitimní instalační program kodeku tak, aby nakonec nahrál do systému oběti dosud neviděná zadní vrátka.

Podle výzkumníků se aktéři hrozeb zaměřovali pouze na návštěvníky webu, kteří měli IP adresy z čínského Shenyangu, Nagoje, Japonska a Brazílie. Existuje podezření, že Brazílie byla použita k testování útoku na zalévání pomocí připojení VPN a skutečnými cíli byli návštěvníci ze dvou měst v Číně a Japonsku. Příslušné oběti obdrží falešnou chybovou zprávu, která je vyzve k instalaci kodeku pro sledování videa. Kodek však byl ve skutečnosti spustitelný soubor MSI, který na počítač oběti nainstaloval kód shellu a spustil řadu příkazů PowerShell, které nakonec nasadily zadní vrátka WhiskerSpy.

V této kampani Earth Kitsune použil několik technik vytrvalosti, aby zůstal nezjištěn. Jednou z takových metod je zneužití nativního hostitele zasílání zpráv v prohlížeči Google Chrome, který nainstaloval napadené rozšíření Google Chrome s názvem Google Chrome Helper. Rozšíření umožňovalo spuštění užitečného zatížení při každém spuštění prohlížeče. Další využívaná technika využívá zranitelnosti načítání z OneDrivu, které umožnily vypuštění nebezpečného souboru (falešný 'vcruntime140.dll') do adresáře OneDrive.

WhiskerSpy má rozsáhlý seznam ohrožujících funkcí

WhiskerSpy je poslední užitečné zatížení nasazené v rámci útočné kampaně Earth Kitsune. Backdoor poskytuje vzdáleným operátorům různé možnosti, jako je interaktivní shell, možnost stahovat, nahrávat a mazat soubory, vypisovat soubory, pořizovat snímky obrazovky, načítat spustitelné soubory a vkládat shell kód do procesu.

Pro udržení komunikace s příkazovým a řídicím (C2, C&C) serverem používá WhiskerSpy 16bajtový klíč AES pro šifrování. Backdoor se pravidelně připojuje k serveru C2, aby obdržel aktualizace o svém stavu, a server může reagovat pokyny pro malware, jako je provádění příkazů shellu, vkládání kódu do jiného procesu, exfiltrace konkrétních souborů nebo pořizování snímků obrazovky.

Výzkumníci objevili dřívější verzi WhiskerSpy, která pro komunikaci C2 používala protokol FTP místo HTTP. Tato starší varianta také při spuštění zkontrolovala přítomnost debuggeru a informovala C2 o příslušném stavovém kódu. Tato zjištění zdůrazňují neustálý vývoj malwaru, protože útočníci přizpůsobují a zdokonalují své nástroje a techniky, aby se vyhnuli detekci a zvýšili svou efektivitu. Zdůrazňuje potřebu robustních a aktuálních bezpečnostních opatření na ochranu před takovými hrozbami.