WhiskerSpy Backdoor

محققان امنیت سایبری یک درب پشتی جدید به نام WhiskerSpy را کشف کردند که توسط یک گروه تهدید کننده نسبتاً جدید اما پیشرفته به نام Earth Kitsune مستقر شده است. این گروه به دلیل هدف قرار دادن افرادی که به کره شمالی علاقه نشان داده اند، شهرت یافته است.

گروه Earth Kitsune برای اجرای حمله خود از روشی به نام حمله سوراخ آبی استفاده کرده است که یک تاکتیک اثبات شده و موثر برای دستیابی به سیستم هدف است. در این حمله، عوامل تهدید، وب‌سایتی را شناسایی می‌کنند که به طور مکرر توسط مخاطبان هدف آنها بازدید می‌شود و آن را با بدافزار آلوده می‌کنند که به آنها امکان می‌دهد هنگام بازدید از سایت، به دستگاه‌های بازدیدکنندگان دسترسی پیدا کنند. در این مورد خاص، وب‌سایتی که به خطر افتاده است، یک وب‌سایت طرفدار کره شمالی است که اغلب توسط افراد علاقه‌مند به این کشور بازدید می‌شود.

محققان امنیتی از سال 2019 فعالیت های Earth Kitsune را زیر نظر گرفته اند و این آخرین کمپین را در اواخر سال گذشته کشف کردند. این کشف بسیار مهم است، زیرا این واقعیت را برجسته می کند که حتی عوامل تهدید نسبتاً جدید به طور فزاینده ای پیشرفته می شوند و تهدیدی قابل توجه برای افراد و سازمان ها هستند.

عفونت WhiskerSpy از یک تاکتیک حمله به سوراخ آبی استفاده می کند

درب پشتی WhiskerSpy به بازدیدکنندگانی که سعی در تماشای ویدیوها در یک وب سایت در معرض خطر دارند تحویل داده می شود. مهاجم یک اسکریپت خراب را به وب‌سایت تزریق کرده است که بازدیدکنندگان را وادار می‌کند یک کدک ویدیویی را نصب کنند که ظاهراً برای اجرای محتوای ویدیوی نمایش داده شده لازم است. برای جلوگیری از شناسایی، مهاجم یک نصب کننده کدک قانونی را تغییر داد تا در نهایت یک درپشتی که قبلاً دیده نشده بود را روی سیستم قربانی بارگذاری کند.

به گفته محققان، عاملان تهدید تنها بازدیدکنندگان وب سایت را هدف قرار می دهند که دارای آدرس IP از شن یانگ، چین، ناگویا، ژاپن و برزیل بودند. گمان می رود که برزیل برای آزمایش حمله چاله آبی با استفاده از اتصال VPN استفاده شده است و اهداف واقعی بازدیدکنندگان از دو شهر چین و ژاپن بوده اند. قربانیان مربوطه یک پیغام خطای جعلی دریافت می‌کنند که از آنها خواسته می‌شود یک کدک برای تماشای ویدیو نصب کنند. با این حال، کدک، در واقع، یک فایل اجرایی MSI بود که یک کد پوسته را بر روی رایانه قربانی نصب می‌کرد و یک سری از دستورات PowerShell را راه‌اندازی می‌کرد که در نهایت درپشتی WhiskerSpy را اجرا می‌کرد.

در این کمپین، Earth Kitsune از چندین تکنیک پایداری برای ناشناخته ماندن استفاده کرد. یکی از این روش‌ها سوءاستفاده از میزبان پیام‌رسان بومی در Google Chrome است که افزونه Google Chrome به نام Google Chrome Helper را نصب کرده بود. برنامه افزودنی هر بار که مرورگر شروع به کار کرد، امکان اجرای محموله را فراهم می کرد. یکی دیگر از تکنیک‌های مورد استفاده از آسیب‌پذیری‌های بارگذاری جانبی OneDrive استفاده می‌کند، که حذف یک فایل ناامن («vcruntime140.dll» جعلی) را در فهرست راهنمای OneDrive فعال می‌کند.

WhiskerSpy فهرست گسترده ای از عملکردهای تهدیدآمیز دارد

WhiskerSpy آخرین بار است که به عنوان بخشی از کمپین حمله Earth Kitsune مستقر شده است. Backdoor به اپراتورهای راه دور قابلیت‌های مختلفی مانند پوسته تعاملی، توانایی دانلود، آپلود و حذف فایل‌ها، فهرست کردن فایل‌ها، گرفتن اسکرین شات، بارگذاری فایل‌های اجرایی و تزریق کد پوسته به فرآیند را در اختیار اپراتورهای راه دور قرار می‌دهد.

برای حفظ ارتباط با سرور فرمان و کنترل (C2, C&C)، WhiskerSpy از یک کلید 16 بایتی AES برای رمزگذاری استفاده می کند. درب پشتی به طور دوره‌ای به سرور C2 متصل می‌شود تا به‌روزرسانی‌هایی درباره وضعیت خود دریافت کند، و سرور ممکن است با دستورالعمل‌هایی برای بدافزار مانند اجرای دستورات پوسته، تزریق کد به فرآیند دیگر، استخراج فایل‌های خاص یا گرفتن اسکرین شات پاسخ دهد.

محققان نسخه قبلی WhiskerSpy را کشف کردند که از پروتکل FTP به جای HTTP برای ارتباط C2 استفاده می کرد. این نوع قدیمی‌تر نیز وجود اشکال‌زدا را پس از اجرا بررسی کرد و کد وضعیت مناسب را به C2 اطلاع داد. این یافته‌ها تکامل دائمی بدافزارها را نشان می‌دهد، زیرا مهاجمان ابزارها و تکنیک‌های خود را برای فرار از شناسایی و افزایش اثربخشی سازگار می‌کنند و اصلاح می‌کنند. این بیانیه بر نیاز به اقدامات امنیتی قوی و به روز برای محافظت در برابر چنین تهدیداتی تاکید می کند.