WhiskerSpy Backdoor

Küberturvalisuse teadlased on avastanud uue tagaukse, mida tuntakse WhiskerSpy nime all ja mille on kasutusele võtnud suhteliselt uus, kuid arenenud ohus osalejate rühm nimega Earth Kitsune. See rühm on saanud tuntuks selle poolest, et sihib inimesi, kes on näidanud üles huvi Põhja-Korea vastu.

Rünnaku sooritamiseks on Earth Kitsune'i rühmitus kasutanud meetodit, mida tuntakse vesirünnakuna, mis on tõestatud ja tõhus taktika sihtmärgi süsteemile juurdepääsu saamiseks. Selle rünnaku korral tuvastavad ohus osalejad veebisaidi, mida nende sihtrühm sageli külastab, ja nakatavad selle pahavaraga, mis võimaldab neil saiti külastades pääseda ligi külastajate seadmetele. Sel konkreetsel juhul on ohustatud veebisait Põhja-Korea-meelne veebisait, mida külastavad sageli riigi vastu huvi tundvad isikud.

Turvateadlased on Earth Kitsune tegevust jälginud alates 2019. aastast ja avastasid selle viimase kampaania eelmise aasta lõpus. See avastus on märkimisväärne, kuna tõstab esile tõsiasja, et isegi suhteliselt uued ohutegurid on üha arenenumad ja kujutavad endast olulist ohtu nii üksikisikutele kui ka organisatsioonidele.

WhiskerSpy infektsioon kasutab jootmisaugu rünnaku taktikat

WhiskerSpy tagauks antakse külastajatele, kes üritavad vaadata videoid ohustatud veebisaidil. Ründaja on sisestanud veebisaidile rikutud skripti, mis palub külastajatel installida videokodek, mis on väidetavalt vajalik kuvatava videosisu käitamiseks. Avastamise vältimiseks muutis ründaja seaduslikku kodeki installerit, nii et see lõpuks laadib ohvri süsteemi varem nähtamatu tagaukse.

Teadlaste sõnul võtsid ohutegijad sihikule ainult veebisaidi külastajad, kellel oli IP-aadressid Shenyangist, Hiinast, Nagoyast, Jaapanist ja Brasiiliast. Kahtlustatakse, et Brasiiliat kasutati VPN-ühendust kasutades veeava rünnaku testimiseks ning tegelikeks sihtmärkideks olid külalised kahest Hiina ja Jaapani linnast. Asjaomased ohvrid saavad võltsitud veateate, mis sunnib neid video vaatamiseks koodeki installima. Kuid tegelikult oli koodek MSI käivitatav fail, mis installis ohvri arvutisse shellkoodi, käivitades PowerShelli käskude seeria, mis lõpuks juurutas WhiskerSpy tagaukse.

Selles kampaanias kasutas Earth Kitsune mitmeid püsivustehnikaid, et jääda märkamatuks. Üks selline meetod on Google Chrome'i sõnumside hosti kuritarvitamine, mis oli installinud ohustatud Google Chrome'i laienduse nimega Google Chrome Helper. Laiendus võimaldas koormust täita iga kord, kui brauser käivitub. Teine kasutatud tehnika kasutab OneDrive'i külglaadimise haavatavusi, mis võimaldas ebaturvalise faili (võlts "vcruntime140.dll") OneDrive'i kataloogi kukutada.

WhiskerSpyl on ohtralt ohtlike funktsioonide loend

WhiskerSpy on viimane kasulik koormus, mis on kasutusele võetud Earth Kitsune'i rünnakukampaania osana. Tagauks pakub kaugoperaatoritele erinevaid võimalusi, nagu interaktiivne kest, võimalus faile alla laadida, üles laadida ja kustutada, faile loetleda, ekraanipilte teha, käivitatavaid faile laadida ja shellkoodi protsessi sisestada.

Käsu- ja juhtimisserveriga (C2, C&C) side säilitamiseks kasutab WhiskerSpy krüptimiseks 16-baidist AES-võtit. Tagauks loob perioodiliselt ühenduse C2-serveriga, et saada värskendusi selle oleku kohta, ja server võib vastata õelvara juhistega, nagu näiteks shellikäskude täitmine, koodi sisestamine teise protsessi, konkreetsete failide väljafiltreerimine või ekraanipiltide tegemine.

Teadlased avastasid WhiskerSpy varasema versiooni, mis kasutas C2 suhtluseks HTTP asemel FTP-protokolli. See vanem variant kontrollis käivitamisel ka siluri olemasolu ja teavitas C2-d sobivast olekukoodist. Need leiud rõhutavad pahavara pidevat arengut, kuna ründajad kohandavad ja täiustavad oma tööriistu ja tehnikaid, et vältida tuvastamist ja suurendada nende tõhusust. See rõhutab vajadust tugevate ja ajakohaste turvameetmete järele, et kaitsta selliste ohtude eest.