WhiskerSpy Backdoor

Istraživači kibernetičke sigurnosti otkrili su nova stražnja vrata poznata kao WhiskerSpy, koju je postavila relativno nova, ali napredna skupina aktera prijetnji pod nazivom Earth Kitsune. Ova je skupina postala poznata po ciljanju pojedinaca koji su pokazali interes za Sjevernu Koreju.

Kako bi izvršili svoj napad, skupina Earth Kitsune upotrijebila je metodu poznatu kao napad s vodom, što je dokazana i učinkovita taktika za dobivanje pristupa sustavu mete. U ovom napadu akteri prijetnje identificiraju web stranicu koju njihova ciljana publika često posjećuje i zaraze je zlonamjernim softverom koji im omogućuje pristup uređajima posjetitelja kada posjete stranicu. U ovom konkretnom slučaju, web stranica koja je kompromitirana je prosjevernokorejska web stranica, koju često posjećuju pojedinci koji su zainteresirani za zemlju.

Sigurnosni istraživači prate aktivnosti Earth Kitsune od 2019. i otkrili su ovu posljednju kampanju krajem prošle godine. Ovo otkriće je značajno jer naglašava činjenicu da čak i relativno novi akteri prijetnji postaju sve napredniji i predstavljaju značajnu prijetnju pojedincima i organizacijama.

Infekcija WhiskerSpy koristi taktiku napada pojilištem

WhiskerSpy backdoor isporučuje se posjetiteljima koji pokušavaju gledati videozapise na ugroženoj web stranici. Napadač je u web stranicu ubacio pokvarenu skriptu koja od posjetitelja traži da instaliraju video kodek koji je navodno potreban za pokretanje prikazanog video sadržaja. Kako bi izbjegao otkrivanje, napadač je modificirao legitimni instalacijski program kodeka tako da na kraju učitava prethodno nevidljiva stražnja vrata na žrtvin sustav.

Prema istraživačima, akteri prijetnje ciljali su samo posjetitelje web stranice koji su imali IP adrese iz Shenyanga, Kine, Nagoye, Japana i Brazila. Sumnja se da je Brazil korišten za testiranje napada na pojilište putem VPN veze, a prave mete bili su posjetitelji iz ta dva grada u Kini i Japanu. Relevantne žrtve bi primile lažnu poruku o pogrešci koja bi ih pozvala da instaliraju kodek za gledanje videa. Međutim, kodek je zapravo bio MSI izvršna datoteka koja je instalirala shellcode na žrtvino računalo, pokrećući niz PowerShell naredbi koje su u konačnici pokrenule WhiskerSpy backdoor.

U ovoj kampanji, Earth Kitsune koristio je nekoliko tehnika upornosti kako bi ostao neotkriven. Jedna takva metoda je zlouporaba izvornog hosta za razmjenu poruka u pregledniku Google Chrome, koji je instalirao kompromitirano proširenje za Google Chrome pod nazivom Google Chrome Helper. Proširenje je omogućilo izvršavanje korisnog opterećenja svaki put kada se preglednik pokrene. Druga korištena tehnika iskorištava ranjivosti OneDrive bočnog učitavanja, što je omogućilo ispuštanje nesigurne datoteke (lažni 'vcruntime140.dll') u OneDrive direktoriju.

WhiskerSpy ima opsežan popis prijetećih funkcija

WhiskerSpy je posljednji korisni teret raspoređen kao dio kampanje napada Earth Kitsune. Backdoor pruža udaljenim operaterima različite mogućnosti, kao što je interaktivna ljuska, mogućnost preuzimanja, učitavanja i brisanja datoteka, popisa datoteka, snimanja zaslona, učitavanja izvršnih datoteka i ubacivanja shellcodea u proces.

Za održavanje komunikacije s poslužiteljem za naredbu i kontrolu (C2, C&C), WhiskerSpy koristi 16-bajtni AES ključ za šifriranje. Backdoor se povremeno povezuje s C2 poslužiteljem kako bi primao ažuriranja o svom statusu, a poslužitelj može odgovoriti uputama za zlonamjerni softver, poput izvršavanja naredbi ljuske, ubacivanja koda u drugi proces, eksfiltracije određenih datoteka ili snimanja zaslona.

Istraživači su otkrili raniju verziju WhiskerSpy koja je koristila FTP protokol umjesto HTTP-a za C2 komunikaciju. Ova starija varijanta također je provjeravala prisutnost programa za ispravljanje pogrešaka nakon izvođenja i obavijestila C2 o odgovarajućem statusnom kodu. Ova otkrića naglašavaju stalnu evoluciju zlonamjernog softvera kako napadači prilagođavaju i usavršavaju svoje alate i tehnike kako bi izbjegli otkrivanje i povećali njihovu učinkovitost. Naglašava potrebu za snažnim i ažuriranim sigurnosnim mjerama za zaštitu od takvih prijetnji.