WhiskerSpy Backdoor
محققان امنیت سایبری یک درب پشتی جدید به نام WhiskerSpy را کشف کردند که توسط یک گروه تهدید کننده نسبتاً جدید اما پیشرفته به نام Earth Kitsune مستقر شده است. این گروه به دلیل هدف قرار دادن افرادی که به کره شمالی علاقه نشان داده اند، شهرت یافته است.
گروه Earth Kitsune برای اجرای حمله خود از روشی به نام حمله سوراخ آبی استفاده کرده است که یک تاکتیک اثبات شده و موثر برای دستیابی به سیستم هدف است. در این حمله، عوامل تهدید، وبسایتی را شناسایی میکنند که به طور مکرر توسط مخاطبان هدف آنها بازدید میشود و آن را با بدافزار آلوده میکنند که به آنها امکان میدهد هنگام بازدید از سایت، به دستگاههای بازدیدکنندگان دسترسی پیدا کنند. در این مورد خاص، وبسایتی که به خطر افتاده است، یک وبسایت طرفدار کره شمالی است که اغلب توسط افراد علاقهمند به این کشور بازدید میشود.
محققان امنیتی از سال 2019 فعالیت های Earth Kitsune را زیر نظر گرفته اند و این آخرین کمپین را در اواخر سال گذشته کشف کردند. این کشف بسیار مهم است، زیرا این واقعیت را برجسته می کند که حتی عوامل تهدید نسبتاً جدید به طور فزاینده ای پیشرفته می شوند و تهدیدی قابل توجه برای افراد و سازمان ها هستند.
عفونت WhiskerSpy از یک تاکتیک حمله به سوراخ آبی استفاده می کند
درب پشتی WhiskerSpy به بازدیدکنندگانی که سعی در تماشای ویدیوها در یک وب سایت در معرض خطر دارند تحویل داده می شود. مهاجم یک اسکریپت خراب را به وبسایت تزریق کرده است که بازدیدکنندگان را وادار میکند یک کدک ویدیویی را نصب کنند که ظاهراً برای اجرای محتوای ویدیوی نمایش داده شده لازم است. برای جلوگیری از شناسایی، مهاجم یک نصب کننده کدک قانونی را تغییر داد تا در نهایت یک درپشتی که قبلاً دیده نشده بود را روی سیستم قربانی بارگذاری کند.
به گفته محققان، عاملان تهدید تنها بازدیدکنندگان وب سایت را هدف قرار می دهند که دارای آدرس IP از شن یانگ، چین، ناگویا، ژاپن و برزیل بودند. گمان می رود که برزیل برای آزمایش حمله چاله آبی با استفاده از اتصال VPN استفاده شده است و اهداف واقعی بازدیدکنندگان از دو شهر چین و ژاپن بوده اند. قربانیان مربوطه یک پیغام خطای جعلی دریافت میکنند که از آنها خواسته میشود یک کدک برای تماشای ویدیو نصب کنند. با این حال، کدک، در واقع، یک فایل اجرایی MSI بود که یک کد پوسته را بر روی رایانه قربانی نصب میکرد و یک سری از دستورات PowerShell را راهاندازی میکرد که در نهایت درپشتی WhiskerSpy را اجرا میکرد.
در این کمپین، Earth Kitsune از چندین تکنیک پایداری برای ناشناخته ماندن استفاده کرد. یکی از این روشها سوءاستفاده از میزبان پیامرسان بومی در Google Chrome است که افزونه Google Chrome به نام Google Chrome Helper را نصب کرده بود. برنامه افزودنی هر بار که مرورگر شروع به کار کرد، امکان اجرای محموله را فراهم می کرد. یکی دیگر از تکنیکهای مورد استفاده از آسیبپذیریهای بارگذاری جانبی OneDrive استفاده میکند، که حذف یک فایل ناامن («vcruntime140.dll» جعلی) را در فهرست راهنمای OneDrive فعال میکند.
WhiskerSpy فهرست گسترده ای از عملکردهای تهدیدآمیز دارد
WhiskerSpy آخرین بار است که به عنوان بخشی از کمپین حمله Earth Kitsune مستقر شده است. Backdoor به اپراتورهای راه دور قابلیتهای مختلفی مانند پوسته تعاملی، توانایی دانلود، آپلود و حذف فایلها، فهرست کردن فایلها، گرفتن اسکرین شات، بارگذاری فایلهای اجرایی و تزریق کد پوسته به فرآیند را در اختیار اپراتورهای راه دور قرار میدهد.
برای حفظ ارتباط با سرور فرمان و کنترل (C2, C&C)، WhiskerSpy از یک کلید 16 بایتی AES برای رمزگذاری استفاده می کند. درب پشتی به طور دورهای به سرور C2 متصل میشود تا بهروزرسانیهایی درباره وضعیت خود دریافت کند، و سرور ممکن است با دستورالعملهایی برای بدافزار مانند اجرای دستورات پوسته، تزریق کد به فرآیند دیگر، استخراج فایلهای خاص یا گرفتن اسکرین شات پاسخ دهد.
محققان نسخه قبلی WhiskerSpy را کشف کردند که از پروتکل FTP به جای HTTP برای ارتباط C2 استفاده می کرد. این نوع قدیمیتر نیز وجود اشکالزدا را پس از اجرا بررسی کرد و کد وضعیت مناسب را به C2 اطلاع داد. این یافتهها تکامل دائمی بدافزارها را نشان میدهد، زیرا مهاجمان ابزارها و تکنیکهای خود را برای فرار از شناسایی و افزایش اثربخشی سازگار میکنند و اصلاح میکنند. این بیانیه بر نیاز به اقدامات امنیتی قوی و به روز برای محافظت در برابر چنین تهدیداتی تاکید می کند.