WhiskerSpy Backdoor

Cybersikkerhedsforskere har afsløret en ny bagdør kendt som WhiskerSpy, som er blevet indsat af en relativt ny, men avanceret trusselsaktørgruppe ved navn Earth Kitsune. Denne gruppe er blevet kendt for at målrette mod personer, der har vist interesse for Nordkorea.

Til at udføre deres angreb har Earth Kitsune-gruppen brugt en metode kendt som et vandhulsangreb, som er en bevist og effektiv taktik til at få adgang til et måls system. I dette angreb identificerer trusselsaktørerne et websted, der ofte besøges af deres målgruppe, og inficerer det med malware, der sætter dem i stand til at få adgang til de besøgendes enheder, når de besøger webstedet. I dette specifikke tilfælde er webstedet, der blev kompromitteret, et pro-nordkorea-websted, som ofte besøges af personer, der er interesserede i landet.

Sikkerhedsforskere har overvåget Earth Kitsunes aktiviteter siden 2019 og opdagede denne seneste kampagne mod slutningen af det foregående år. Denne opdagelse er betydningsfuld, da den fremhæver det faktum, at selv relativt nye trusselsaktører bliver stadig mere avancerede og udgør en væsentlig trussel mod både enkeltpersoner og organisationer.

WhiskerSpy-infektionen bruger en taktik for angreb i et vandhul

WhiskerSpy-bagdøren leveres til besøgende, der forsøger at se videoer på et kompromitteret websted. Angriberen har injiceret et beskadiget script på webstedet, som beder besøgende om at installere et video-codec, der angiveligt er nødvendigt for at køre det viste videoindhold. For at undgå opdagelse ændrede angriberen et legitimt codec-installationsprogram, så det i sidste ende indlæser en tidligere uset bagdør på offerets system.

Ifølge forskere målrettede trusselsaktørerne kun besøgende på hjemmesiden, som havde IP-adresser fra Shenyang, Kina, Nagoya, Japan og Brasilien. Det er mistanke om, at Brasilien blev brugt til at teste vandhulsangrebet ved hjælp af en VPN-forbindelse, og de rigtige mål var besøgende fra de to byer i Kina og Japan. Relevante ofre ville modtage en falsk fejlmeddelelse, der fik dem til at installere et codec for at se videoen. Imidlertid var codec'et i virkeligheden en MSI-eksekverbar fil, der installerede en shell-kode på ofrets computer, hvilket udløste en række PowerShell-kommandoer, der i sidste ende implementerede WhiskerSpy-bagdøren.

I denne kampagne brugte Earth Kitsune adskillige persistensteknikker for at forblive uopdaget. En sådan metode er misbrug af den oprindelige messaging-vært i Google Chrome, som havde installeret en kompromitteret Google Chrome-udvidelse kaldet Google Chrome Helper. Udvidelsen tillod udførelse af nyttelasten hver gang browseren startede. En anden brugt teknik udnytter OneDrive-sideindlæsningssårbarheder, som gjorde det muligt at droppe en usikker fil (falsk 'vcruntime140.dll') i OneDrive-mappen.

WhiskerSpy har en ekspansiv liste over truende funktioner

WhiskerSpy er den sidste nyttelast indsat som en del af Earth Kitsune-angrebskampagnen. Bagdøren giver fjernoperatører forskellige muligheder, såsom en interaktiv shell, muligheden for at downloade, uploade og slette filer, liste filer, tage skærmbilleder, indlæse eksekverbare filer og injicere shellcode i en proces.

For at opretholde kommunikationen med kommando- og kontrolserveren (C2, C&C) bruger WhiskerSpy en 16-byte AES-nøgle til kryptering. Bagdøren opretter periodisk forbindelse til C2-serveren for at modtage opdateringer om dens status, og serveren kan reagere med instruktioner til malwaren, såsom at udføre shell-kommandoer, injicere kode i en anden proces, eksfiltrere specifikke filer eller tage skærmbilleder.

Forskere har opdaget en tidligere version af WhiskerSpy, der brugte FTP-protokollen i stedet for HTTP til C2-kommunikation. Denne ældre variant kontrollerede også for tilstedeværelsen af en debugger ved udførelse og informerede C2 om den relevante statuskode. Disse resultater fremhæver den konstante udvikling af malware, efterhånden som angribere tilpasser og forfiner deres værktøjer og teknikker for at undgå opdagelse og øge deres effektivitet. Det understreger behovet for robuste og opdaterede sikkerhedsforanstaltninger for at beskytte mod sådanne trusler.