WhiskerSpy Backdoor

साइबर सुरक्षा शोधकर्ताओं ने WhiskerSpy के नाम से जाना जाने वाला एक नया पिछला दरवाजा खोला है, जिसे पृथ्वी किट्स्यून नामक अपेक्षाकृत नए लेकिन उन्नत खतरे वाले अभिनेता समूह द्वारा तैनात किया गया है। यह समूह उत्तर कोरिया में रुचि दिखाने वाले व्यक्तियों को लक्षित करने के लिए प्रसिद्ध हो गया है।

अपने हमले को अंजाम देने के लिए, अर्थ किट्स्यून समूह ने वाटरिंग होल हमले के रूप में जानी जाने वाली एक विधि का उपयोग किया है, जो लक्ष्य की प्रणाली तक पहुंच प्राप्त करने के लिए एक सिद्ध और प्रभावी रणनीति है। इस हमले में, खतरे के कारक एक ऐसी वेबसाइट की पहचान करते हैं, जिस पर उनके लक्षित दर्शक अक्सर जाते हैं और इसे मैलवेयर से संक्रमित कर देते हैं, जो साइट पर आने वाले आगंतुकों के उपकरणों तक पहुंच प्राप्त करने में सक्षम बनाता है। इस विशिष्ट मामले में, जिस वेबसाइट से समझौता किया गया था वह उत्तर कोरिया समर्थक वेबसाइट है, जिस पर देश में रुचि रखने वाले व्यक्तियों द्वारा अक्सर देखा जाता है।

सुरक्षा शोधकर्ता 2019 से Earth Kitsune की गतिविधियों की निगरानी कर रहे हैं और पिछले वर्ष के अंत में इस नवीनतम अभियान की खोज की। यह खोज महत्वपूर्ण है, क्योंकि यह इस तथ्य पर प्रकाश डालती है कि अपेक्षाकृत नए खतरे वाले कारक भी तेजी से उन्नत होते जा रहे हैं और व्यक्तियों और संगठनों के लिए समान रूप से महत्वपूर्ण खतरा पैदा करते हैं।

WhiskerSpy संक्रमण वाटरिंग होल अटैक रणनीति का उपयोग करता है

WhiskerSpy पिछले दरवाजे उन आगंतुकों को दिया जाता है जो एक छेड़छाड़ की गई वेबसाइट पर वीडियो देखने का प्रयास करते हैं। हमलावर ने वेबसाइट में एक दूषित स्क्रिप्ट इंजेक्ट की है, जो आगंतुकों को एक वीडियो कोडेक स्थापित करने के लिए प्रेरित करती है जो कि प्रदर्शित वीडियो सामग्री को चलाने के लिए आवश्यक है। पता लगाने से बचने के लिए, हमलावर ने एक वैध कोडेक इंस्टॉलर को संशोधित किया ताकि यह अंततः पीड़ित के सिस्टम पर पहले से न देखे गए बैकडोर को लोड कर सके।

शोधकर्ताओं के अनुसार, धमकी देने वाले अभिनेताओं ने वेबसाइट के केवल उन आगंतुकों को लक्षित किया जिनके पास शेनयांग, चीन, नागोया, जापान और ब्राजील के आईपी पते थे। ऐसा संदेह है कि वीपीएन कनेक्शन का उपयोग करके वाटरिंग होल हमले के परीक्षण के लिए ब्राजील का उपयोग किया गया था, और वास्तविक लक्ष्य चीन और जापान के दो शहरों के आगंतुक थे। प्रासंगिक पीड़ितों को एक नकली त्रुटि संदेश प्राप्त होगा जिसने उन्हें वीडियो देखने के लिए एक कोडेक स्थापित करने के लिए प्रेरित किया। हालाँकि, कोडेक, वास्तव में, एक MSI निष्पादन योग्य था जिसने पीड़ित के कंप्यूटर पर एक शेलकोड स्थापित किया, जो PowerShell कमांड की एक श्रृंखला को ट्रिगर करता है जो अंततः WhiskerSpy पिछले दरवाजे को तैनात करता है।

इस अभियान में, पृथ्वी किट्स्यून ने पता न चलने के लिए कई दृढ़ता तकनीकों का उपयोग किया। ऐसा ही एक तरीका Google क्रोम में देशी मैसेजिंग होस्ट का दुरुपयोग है, जिसने Google क्रोम हेल्पर नामक एक समझौता किए गए Google क्रोम एक्सटेंशन को स्थापित किया था। ब्राउज़र शुरू होने पर हर बार पेलोड के निष्पादन के लिए विस्तार की अनुमति दी गई। एक अन्य उपयोग की गई तकनीक वनड्राइव साइड-लोडिंग भेद्यता का लाभ उठाती है, जिसने वनड्राइव निर्देशिका में एक असुरक्षित फ़ाइल (नकली 'vcruntime140.dll') को छोड़ने में सक्षम बनाया।

WhiskerSpy के पास खतरनाक प्रकार्यात्मकताओं की विस्तृत सूची है

WhiskerSpy अंतिम पेलोड है जिसे Earth Kitsune आक्रमण अभियान के हिस्से के रूप में तैनात किया गया है। बैकडोर विभिन्न क्षमताओं के साथ दूरस्थ ऑपरेटरों को प्रदान करता है, जैसे कि एक इंटरेक्टिव शेल, फ़ाइलों को डाउनलोड करने, अपलोड करने और हटाने की क्षमता, फाइलों को सूचीबद्ध करने, स्क्रीनशॉट लेने, निष्पादन योग्य लोड करने और शेलकोड को एक प्रक्रिया में इंजेक्ट करने की क्षमता।

कमांड और कंट्रोल (C2, C&C) सर्वर के साथ संचार बनाए रखने के लिए, WhiskerSpy एन्क्रिप्शन के लिए 16-बाइट AES कुंजी का उपयोग करता है। बैकडोर समय-समय पर अपनी स्थिति के बारे में अपडेट प्राप्त करने के लिए C2 सर्वर से जुड़ता है, और सर्वर मैलवेयर के निर्देशों के साथ प्रतिक्रिया दे सकता है, जैसे कि शेल कमांड को निष्पादित करना, कोड को किसी अन्य प्रक्रिया में इंजेक्ट करना, विशिष्ट फ़ाइलों को एक्सफिल्टर करना या स्क्रीनशॉट लेना।

शोधकर्ताओं ने WhiskerSpy के एक पुराने संस्करण की खोज की है जो C2 संचार के लिए HTTP के बजाय FTP प्रोटोकॉल का उपयोग करता है। इस पुराने संस्करण ने निष्पादन पर डिबगर की उपस्थिति के लिए भी जाँच की और उपयुक्त स्थिति कोड के C2 को सूचित किया। ये निष्कर्ष मैलवेयर के निरंतर विकास को उजागर करते हैं क्योंकि हमलावर पहचान से बचने और उनकी प्रभावशीलता बढ़ाने के लिए अपने उपकरणों और तकनीकों को अनुकूलित और परिष्कृत करते हैं। यह इस तरह के खतरों से बचाव के लिए मजबूत और अद्यतित सुरक्षा उपायों की आवश्यकता पर बल देता है।