WhiskerSpy דלת אחורית

חוקרי אבטחת סייבר חשפו דלת אחורית חדשה המכונה WhiskerSpy, שנפרסה על ידי קבוצת שחקני איומים חדשה יחסית אך מתקדמת בשם Earth Kitsune. קבוצה זו הפכה ידועה כמי שמכוונת לאנשים שהפגינו עניין בצפון קוריאה.

כדי לבצע את התקיפה שלהם, קבוצת Earth Kitsune השתמשה בשיטה המכונה התקפת בור השקיה, שהיא טקטיקה מוכחת ויעילה להשגת גישה למערכת של מטרה. במתקפה זו, גורמי האיום מזהים אתר שאליו קהל היעד מבקר לעתים קרובות ומדביקים אותו בתוכנות זדוניות המאפשרות להם לקבל גישה למכשירים של המבקרים כאשר הם מבקרים באתר. במקרה הספציפי הזה, האתר שנפרץ הוא אתר פרו-קוריאה הצפונית, שאליו מבקרים לעתים קרובות אנשים שמתעניינים במדינה.

חוקרי אבטחה עוקבים אחר הפעילות של Earth Kitsune מאז 2019 וגילו את הקמפיין האחרון לקראת סוף השנה הקודמת. גילוי זה הוא משמעותי, שכן הוא מדגיש את העובדה שאפילו גורמי איומים חדשים יחסית הופכים מתקדמים יותר ויותר ומהווים איום משמעותי על אנשים וארגונים כאחד.

זיהום WhiskerSpy משתמש בטקטיקת התקפה של חור השקיה

הדלת האחורית של WhiskerSpy מועברת למבקרים שמנסים לצפות בסרטונים באתר שנפגע. התוקף הזריק סקריפט פגום לאתר, מה שמנחה את המבקרים להתקין קודק וידאו שנדרש כביכול להפעלת תוכן הווידאו המוצג. כדי להימנע מזיהוי, התוקף שינה מתקין codec לגיטימי כך שבסופו של דבר הוא יטען דלת אחורית שלא נראתה בעבר במערכת של הקורבן.

לפי החוקרים, גורמי האיום כוונו רק למבקרים באתר שהיו להם כתובות IP משניאנג, סין, נאגויה, יפן וברזיל. על פי החשד, נעשה שימוש בברזיל לבדיקת מתקפת בור ההשקה באמצעות חיבור VPN, והמטרות האמיתיות היו מבקרים משתי הערים בסין וביפן. הקורבנות הרלוונטיים יקבלו הודעת שגיאה מזויפת שהנחה אותם להתקין codec כדי לצפות בסרטון. עם זאת, ה-codec היה, למעשה, קובץ הפעלה של MSI שהתקין קוד מעטפת במחשב של הקורבן, והפעיל סדרה של פקודות PowerShell שבסופו של דבר פרסו את הדלת האחורית של WhiskerSpy.

בקמפיין זה, Earth Kitsune השתמש במספר טכניקות התמדה כדי להישאר בלתי מזוהה. שיטה אחת כזו היא ניצול לרעה של מארח העברת ההודעות המקורי ב-Google Chrome, שהתקין תוסף Google Chrome שנפרץ בשם Google Chrome Helper. התוסף איפשר את ביצוע המטען בכל פעם שהדפדפן התחיל. טכניקה מנוצלת נוספת ממנפת נקודות תורפה של טעינת צד של OneDrive, שאפשרה שחרור של קובץ לא בטוח (מזויף 'vcruntime140.dll') בספריית OneDrive.

WhiskerSpy יש רשימה נרחבת של פונקציות מאיימות

WhiskerSpy הוא המטען האחרון שנפרס כחלק ממסע התקפות Earth Kitsune. הדלת האחורית מספקת למפעילים מרוחקים יכולות שונות, כמו מעטפת אינטראקטיבית, יכולת הורדה, העלאה ומחיקה של קבצים, רשימת קבצים, צילום מסך, טעינת קובצי הפעלה והחדרת קוד מעטפת לתהליך.

כדי לשמור על תקשורת עם שרת הפיקוד והבקרה (C2, C&C), WhiskerSpy משתמש במפתח AES של 16 בתים להצפנה. הדלת האחורית מתחברת מעת לעת לשרת C2 כדי לקבל עדכונים לגבי מצבו, והשרת עשוי להגיב עם הוראות עבור התוכנה הזדונית, כגון ביצוע פקודות מעטפת, הזרקת קוד לתהליך אחר, הוצאת קבצים ספציפיים או צילום מסך.

חוקרים גילו גרסה קודמת של WhiskerSpy שהשתמשה בפרוטוקול FTP במקום HTTP עבור תקשורת C2. גרסה ישנה יותר זו גם בדקה נוכחות של מאתר באגים בעת הביצוע והודיעה ל-C2 על קוד המצב המתאים. ממצאים אלה מדגישים את ההתפתחות המתמדת של תוכנות זדוניות כאשר התוקפים מסתגלים ומשכללים את הכלים והטכניקות שלהם כדי להתחמק מזיהוי ולהגביר את יעילותם. הוא מדגיש את הצורך באמצעי אבטחה חזקים ועדכניים כדי להגן מפני איומים כאלה.