WhiskerSpy Backdoor

A kiberbiztonsági kutatók egy új, WhiskerSpy néven ismert hátsó ajtót fedeztek fel, amelyet egy viszonylag új, de fejlett fenyegetésekkel foglalkozó csoport, az Earth Kitsune telepített. Ez a csoport jól ismertté vált arról, hogy olyan személyeket céloz meg, akik érdeklődést mutattak Észak-Korea iránt.

Támadásuk végrehajtásához az Earth Kitsune csoport egy „watering hole attack” néven ismert módszert használt, amely bevált és hatékony taktika a célpont rendszeréhez való hozzáférésre. Ebben a támadásban a fenyegetés szereplői azonosítják a célközönségük által gyakran felkeresett webhelyet, és megfertőzik azt rosszindulatú programokkal, amelyek lehetővé teszik számukra, hogy hozzáférjenek a látogatók eszközeihez, amikor felkeresik az oldalt. Ebben a konkrét esetben a feltört webhely egy Észak-Korea-párti webhely, amelyet gyakran keresnek fel az ország iránt érdeklődő személyek.

Biztonsági kutatók 2019 óta figyelik az Earth Kitsune tevékenységét, és az előző év végén fedezték fel ezt a legújabb kampányt. Ez a felfedezés jelentős, mivel rávilágít arra a tényre, hogy még a viszonylag új fenyegetés szereplői is egyre fejlettebbek, és jelentős veszélyt jelentenek egyénekre és szervezetekre egyaránt.

A WhiskerSpy-fertőzés „Wising Hole” támadási taktikát alkalmaz

A WhiskerSpy hátsó ajtót azoknak a látogatóknak szállítják, akik egy feltört webhelyen próbálnak meg videókat nézni. A támadó egy sérült szkriptet fecskendezett a webhelyre, amely arra kéri a látogatókat, hogy telepítsenek egy videokodeket, amely állítólag szükséges a megjelenített videótartalom futtatásához. Az észlelés elkerülése érdekében a támadó módosított egy legitim kodektelepítőt, így az végül egy korábban nem látott hátsó ajtót tölt be az áldozat rendszerére.

A kutatók szerint a fenyegetés szereplői csak a webhely azon látogatóit célozták meg, akiknek Shenyangból, Kínából, Nagoyából, Japánból és Brazíliából származó IP-címük volt. A gyanú szerint Brazíliát használták a VPN-kapcsolaton keresztüli támadás tesztelésére, a valódi célpontok pedig a két kínai és japán város látogatói voltak. Az érintett áldozatok hamis hibaüzenetet kapnak, amely arra késztette őket, hogy telepítsenek kodeket a videó megtekintéséhez. A kodek azonban valójában egy MSI végrehajtható fájl volt, amely shellkódot telepített az áldozat számítógépére, és PowerShell-parancsok sorozatát váltotta ki, amelyek végül a WhiskerSpy hátsó ajtót telepítették.

Ebben a kampányban az Earth Kitsune számos kitartási technikát alkalmazott, hogy észrevétlen maradjon. Az egyik ilyen módszer a Google Chrome natív üzenetküldő gazdagépével való visszaélés, amely telepítette a Google Chrome Helper nevű kompromittált Google Chrome-bővítményt. A kiterjesztés lehetővé tette a hasznos terhelés végrehajtását a böngésző minden indításakor. Egy másik alkalmazott technika kihasználja a OneDrive oldalsó betöltési sebezhetőségét, amely lehetővé tette egy nem biztonságos fájl (hamis „vcruntime140.dll”) eldobását a OneDrive könyvtárban.

A WhiskerSpy kiterjedt listával rendelkezik a fenyegető funkciókról

A WhiskerSpy az utolsó hasznos teher, amelyet az Earth Kitsune támadási kampány részeként telepítettek. A hátsó ajtó a távoli kezelők számára különféle lehetőségeket biztosít, például interaktív shell, fájlok letöltésének, feltöltésének és törlésének, fájlok listázásának, képernyőképek készítésének, végrehajtható fájlok betöltésének és shellkód beszúrásának lehetőségét egy folyamatba.

A vezérlő és vezérlő (C2, C&C) szerverrel való kommunikáció fenntartásához a WhiskerSpy 16 bájtos AES-kulcsot használ a titkosításhoz. A hátsó ajtó időnként csatlakozik a C2 kiszolgálóhoz, hogy frissítéseket kapjon az állapotáról, és a szerver utasításokkal válaszolhat a rosszindulatú programokra, például shell-parancsok végrehajtására, kód beszúrására egy másik folyamatba, bizonyos fájlok kiszűrésére vagy képernyőképek készítésére.

A kutatók felfedezték a WhiskerSpy egy korábbi verzióját, amely a HTTP helyett FTP protokollt használt a C2 kommunikációhoz. Ez a régebbi változat végrehajtáskor is ellenőrizte a hibakereső jelenlétét, és tájékoztatta a C2-t a megfelelő állapotkódról. Ezek az eredmények rávilágítanak a rosszindulatú programok folyamatos fejlődésére, miközben a támadók alkalmazkodnak és finomítják eszközeiket és technikáikat, hogy elkerüljék az észlelést, és növeljék azok hatékonyságát. Hangsúlyozza a robusztus és naprakész biztonsági intézkedések szükségességét az ilyen fenyegetések elleni védelem érdekében.