WhiskerSpy Backdoor

Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια νέα κερκόπορτα γνωστή ως WhiskerSpy, η οποία έχει αναπτυχθεί από μια σχετικά νέα αλλά προηγμένη ομάδα απειλών που ονομάζεται Earth Kitsune. Αυτή η ομάδα έχει γίνει πολύ γνωστή για τη στόχευση ατόμων που έχουν δείξει ενδιαφέρον για τη Βόρεια Κορέα.

Για να εκτελέσει την επίθεσή του, η ομάδα Earth Kitsune χρησιμοποίησε μια μέθοδο γνωστή ως επίθεση με λάκκο νερού, η οποία είναι μια αποδεδειγμένη και αποτελεσματική τακτική για την απόκτηση πρόσβασης στο σύστημα ενός στόχου. Σε αυτήν την επίθεση, οι φορείς απειλών προσδιορίζουν έναν ιστότοπο που επισκέπτεται συχνά το κοινό τους και τον μολύνουν με κακόβουλο λογισμικό που τους επιτρέπει να αποκτήσουν πρόσβαση στις συσκευές των επισκεπτών όταν επισκέπτονται τον ιστότοπο. Στη συγκεκριμένη περίπτωση, ο ιστότοπος που παραβιάστηκε είναι ένας ιστότοπος υπέρ της Βόρειας Κορέας, τον οποίο επισκέπτονται συχνά άτομα που ενδιαφέρονται για τη χώρα.

Οι ερευνητές ασφαλείας παρακολουθούν τις δραστηριότητες του Earth Kitsune από το 2019 και ανακάλυψαν αυτήν την τελευταία εκστρατεία προς το τέλος του προηγούμενου έτους. Αυτή η ανακάλυψη είναι σημαντική, καθώς υπογραμμίζει το γεγονός ότι ακόμη και οι σχετικά νέοι παράγοντες απειλών προχωρούν ολοένα και περισσότερο και αποτελούν σημαντική απειλή τόσο για άτομα όσο και για οργανισμούς.

Η μόλυνση WhiskerSpy χρησιμοποιεί μια τακτική επίθεσης από τρύπα

Το backdoor του WhiskerSpy παραδίδεται στους επισκέπτες που προσπαθούν να παρακολουθήσουν βίντεο σε έναν παραβιασμένο ιστότοπο. Ο εισβολέας έχει εισάγει ένα κατεστραμμένο σενάριο στον ιστότοπο, το οποίο προτρέπει τους επισκέπτες να εγκαταστήσουν έναν κωδικοποιητή βίντεο που υποτίθεται ότι απαιτείται για την εκτέλεση του εμφανιζόμενου περιεχομένου βίντεο. Για να αποφευχθεί ο εντοπισμός, ο εισβολέας τροποποίησε ένα νόμιμο πρόγραμμα εγκατάστασης κωδικοποιητή, έτσι ώστε τελικά να φορτώσει μια αόρατη κερκόπορτα στο σύστημα του θύματος.

Σύμφωνα με ερευνητές, οι παράγοντες απειλών στόχευαν μόνο επισκέπτες του ιστότοπου που είχαν διευθύνσεις IP από τη Σενγιάνγκ, την Κίνα, τη Ναγκόγια, την Ιαπωνία και τη Βραζιλία. Υποπτεύεται ότι η Βραζιλία χρησιμοποιήθηκε για τη δοκιμή της επίθεσης με σύνδεση VPN και οι πραγματικοί στόχοι ήταν επισκέπτες από τις δύο πόλεις της Κίνας και της Ιαπωνίας. Τα σχετικά θύματα θα λάμβαναν ένα ψεύτικο μήνυμα σφάλματος που τους ώθησε να εγκαταστήσουν έναν κωδικοποιητή για να παρακολουθήσουν το βίντεο. Ωστόσο, ο κωδικοποιητής ήταν, στην πραγματικότητα, ένα εκτελέσιμο αρχείο MSI που εγκατέστησε έναν shellcode στον υπολογιστή του θύματος, ενεργοποιώντας μια σειρά από εντολές PowerShell που τελικά ανέπτυξαν την κερκόπορτα του WhiskerSpy.

Σε αυτήν την καμπάνια, το Earth Kitsune χρησιμοποίησε πολλές τεχνικές επιμονής για να παραμείνει απαρατήρητο. Μια τέτοια μέθοδος είναι η κατάχρηση του εγγενούς κεντρικού υπολογιστή ανταλλαγής μηνυμάτων στο Google Chrome, ο οποίος είχε εγκαταστήσει μια παραβιασμένη επέκταση του Google Chrome που ονομάζεται Google Chrome Helper. Η επέκταση επέτρεπε την εκτέλεση του ωφέλιμου φορτίου κάθε φορά που ξεκινούσε το πρόγραμμα περιήγησης. Μια άλλη χρησιμοποιούμενη τεχνική αξιοποιεί τις ευπάθειες πλευρικής φόρτωσης του OneDrive, οι οποίες επέτρεψαν την απόθεση ενός μη ασφαλούς αρχείου (ψεύτικο 'vcruntime140.dll') στον κατάλογο του OneDrive.

Το WhiskerSpy έχει μια εκτεταμένη λίστα με απειλητικές λειτουργίες

Το WhiskerSpy είναι το τελικό ωφέλιμο φορτίο που αναπτύχθηκε ως μέρος της εκστρατείας επίθεσης Earth Kitsune. Το backdoor παρέχει στους απομακρυσμένους χειριστές διάφορες δυνατότητες, όπως ένα διαδραστικό κέλυφος, τη δυνατότητα λήψης, αποστολής και διαγραφής αρχείων, λίστας αρχείων, λήψης στιγμιότυπων οθόνης, φόρτωσης εκτελέσιμων και εισαγωγής κώδικα κελύφους σε μια διαδικασία.

Για να διατηρήσει την επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2, C&C), το WhiskerSpy χρησιμοποιεί ένα κλειδί AES 16 byte για κρυπτογράφηση. Το backdoor συνδέεται περιοδικά με τον διακομιστή C2 για να λαμβάνει ενημερώσεις σχετικά με την κατάστασή του και ο διακομιστής μπορεί να ανταποκρίνεται με οδηγίες για το κακόβουλο λογισμικό, όπως εκτέλεση εντολών φλοιού, εισαγωγή κώδικα σε άλλη διεργασία, εξαγωγή συγκεκριμένων αρχείων ή λήψη στιγμιότυπων οθόνης.

Οι ερευνητές ανακάλυψαν μια παλαιότερη έκδοση του WhiskerSpy που χρησιμοποιούσε το πρωτόκολλο FTP αντί για HTTP για επικοινωνία C2. Αυτή η παλαιότερη παραλλαγή έλεγξε επίσης την παρουσία ενός προγράμματος εντοπισμού σφαλμάτων κατά την εκτέλεση και ενημέρωσε το C2 για τον κατάλληλο κωδικό κατάστασης. Αυτά τα ευρήματα υπογραμμίζουν τη συνεχή εξέλιξη του κακόβουλου λογισμικού καθώς οι εισβολείς προσαρμόζουν και βελτιώνουν τα εργαλεία και τις τεχνικές τους για να αποφύγουν τον εντοπισμό και να αυξήσουν την αποτελεσματικότητά τους. Τονίζει την ανάγκη για ισχυρά και ενημερωμένα μέτρα ασφαλείας για την προστασία από τέτοιες απειλές.