WhiskerSpy Backdoor

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញ backdoor ថ្មីមួយដែលគេស្គាល់ថា WhiskerSpy ដែលត្រូវបានដាក់ពង្រាយដោយក្រុមអ្នកគំរាមកំហែងថ្មី ប៉ុន្តែជឿនលឿនដែលមានឈ្មោះថា Earth Kitsune ។ ក្រុម​នេះ​បាន​ក្លាយ​ជា​មនុស្ស​ល្បី​ក្នុង​ការ​កំណត់​គោល​ដៅ​បុគ្គល​ដែល​បាន​បង្ហាញ​ការ​ចាប់​អារម្មណ៍​នៅ​ក្នុង​ប្រទេស​កូរ៉េ​ខាង​ជើង។

ដើម្បីប្រតិបត្តិការវាយប្រហាររបស់ពួកគេ ក្រុម Earth Kitsune បានប្រើប្រាស់វិធីសាស្រ្តដែលគេស្គាល់ថាជាការវាយប្រហាររន្ធទឹក ដែលជាយុទ្ធសាស្ត្រដែលបង្ហាញឱ្យឃើញ និងមានប្រសិទ្ធភាពសម្រាប់ការចូលទៅកាន់ប្រព័ន្ធរបស់គោលដៅ។ នៅក្នុងការវាយប្រហារនេះ តួអង្គគំរាមកំហែងកំណត់គេហទំព័រមួយដែលត្រូវបានចូលមើលជាញឹកញាប់ដោយទស្សនិកជនគោលដៅរបស់ពួកគេ ហើយឆ្លងមេរោគវាជាមួយនឹងមេរោគដែលអាចឱ្យពួកគេចូលប្រើឧបករណ៍របស់អ្នកទស្សនានៅពេលដែលពួកគេចូលមើលគេហទំព័រនោះ។ នៅក្នុងករណីជាក់លាក់នេះ គេហទំព័រដែលត្រូវបានសម្របសម្រួលគឺជាគេហទំព័រគាំទ្រកូរ៉េខាងជើង ដែលត្រូវបានចូលមើលជាញឹកញាប់ដោយបុគ្គលដែលចាប់អារម្មណ៍នៅក្នុងប្រទេស។

ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបាននឹងកំពុងតាមដានសកម្មភាពរបស់ Earth Kitsune តាំងពីឆ្នាំ 2019 ហើយបានរកឃើញយុទ្ធនាការចុងក្រោយបង្អស់នេះឆ្ពោះទៅចុងឆ្នាំមុន។ របកគំហើញនេះគឺមានសារៈសំខាន់ ព្រោះវាបង្ហាញពីការពិតដែលថា សូម្បីតែតួអង្គគម្រាមកំហែងថ្មីៗក៏កាន់តែរីកចម្រើន និងបង្កការគំរាមកំហែងយ៉ាងសំខាន់ដល់បុគ្គល និងស្ថាប័នដូចគ្នា។

មេរោគ WhiskerSpy ប្រើវិធីសាស្ត្រវាយប្រហាររន្ធទឹក។

ទ្វារខាងក្រោយរបស់ WhiskerSpy ត្រូវបានបញ្ជូនទៅអ្នកទស្សនាដែលព្យាយាមមើលវីដេអូនៅលើគេហទំព័រដែលត្រូវបានសម្របសម្រួល។ អ្នកវាយប្រហារបានចាក់បញ្ចូលស្គ្រីបដែលខូចទៅក្នុងគេហទំព័រ ដែលជំរុញឱ្យអ្នកទស្សនាដំឡើងកូឌិកវីដេអូដែលសន្មតថាតម្រូវឱ្យដំណើរការមាតិកាវីដេអូដែលបានបង្ហាញ។ ដើម្បីជៀសវាងការរកឃើញ អ្នកវាយប្រហារបានកែប្រែកម្មវិធីដំឡើងកូឌិកស្របច្បាប់ ដើម្បីឱ្យវាផ្ទុក backdoor ដែលមើលមិនឃើញពីមុននៅលើប្រព័ន្ធរបស់ជនរងគ្រោះ។

យោងតាមក្រុមអ្នកស្រាវជ្រាវ តួអង្គគំរាមកំហែងបានកំណត់គោលដៅតែអ្នកចូលមើលគេហទំព័រដែលមានអាសយដ្ឋាន IP មកពីទីក្រុង Shenyang ប្រទេសចិន Nagoya ប្រទេសជប៉ុន និងប្រេស៊ីល។ វាត្រូវបានគេសង្ស័យថាប្រេស៊ីលត្រូវបានប្រើប្រាស់សម្រាប់សាកល្បងការវាយប្រហាររន្ធទឹកដោយប្រើការតភ្ជាប់ VPN ហើយគោលដៅពិតប្រាកដគឺជាអ្នកទេសចរមកពីទីក្រុងពីរក្នុងប្រទេសចិន និងជប៉ុន។ ជនរងគ្រោះដែលពាក់ព័ន្ធនឹងទទួលបានសារកំហុសក្លែងក្លាយ ដែលជំរុញឱ្យពួកគេដំឡើងកូឌិកដើម្បីមើលវីដេអូ។ ទោះជាយ៉ាងណាក៏ដោយ តាមការពិត កូឌិកគឺ MSI ដែលអាចប្រតិបត្តិបានដែលបានដំឡើង shellcode នៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះ ដោយបង្កឱ្យមានការបញ្ជា PowerShell ជាបន្តបន្ទាប់ ដែលទីបំផុតបានដាក់ពង្រាយ WhiskerSpy backdoor ។

នៅក្នុងយុទ្ធនាការនេះ Earth Kitsune បានប្រើបច្ចេកទេសតស៊ូជាច្រើនដើម្បីនៅតែមិនអាចរកឃើញបាន។ វិធីសាស្រ្តមួយបែបនេះគឺការបំពានលើម៉ាស៊ីនផ្ញើសារដើមនៅក្នុង Google Chrome ដែលបានដំឡើងផ្នែកបន្ថែម Google Chrome ដែលត្រូវបានសម្របសម្រួលហៅថា Google Chrome Helper ។ ផ្នែកបន្ថែមបានអនុញ្ញាតសម្រាប់ការប្រតិបត្តិនៃ payload រាល់ពេលដែលកម្មវិធីរុករកចាប់ផ្តើម។ បច្ចេកទេសប្រើប្រាស់មួយផ្សេងទៀតបានប្រើប្រាស់ភាពងាយរងគ្រោះ OneDrive side-loading vulnerabilities ដែលបើកដំណើរការទម្លាក់ឯកសារដែលមិនមានសុវត្ថិភាព ('vcruntime140.dll' ក្លែងក្លាយ) នៅក្នុងថត OneDrive។

WhiskerSpy មានបញ្ជីពង្រីកនៃមុខងារគំរាមកំហែង

WhiskerSpy គឺជាបន្ទុកចុងក្រោយដែលត្រូវបានដាក់ពង្រាយជាផ្នែកមួយនៃយុទ្ធនាការវាយប្រហារ Earth Kitsune ។ Backdoor ផ្តល់ឱ្យប្រតិបត្តិករពីចម្ងាយនូវសមត្ថភាពផ្សេងៗ ដូចជាសែលអន្តរកម្ម សមត្ថភាពក្នុងការទាញយក ផ្ទុកឡើង និងលុបឯកសារ បញ្ជីឯកសារ ថតអេក្រង់ ផ្ទុកឯកសារដែលអាចប្រតិបត្តិបាន និងបញ្ចូលកូដសែលទៅក្នុងដំណើរការមួយ។

ដើម្បីរក្សាការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង (C2, C&C) WhiskerSpy ប្រើប្រាស់សោ AES 16 បៃសម្រាប់ការអ៊ិនគ្រីប។ Backdoor ភ្ជាប់ជាទៀងទាត់ទៅម៉ាស៊ីនមេ C2 ដើម្បីទទួលបានព័ត៌មានថ្មីៗអំពីស្ថានភាពរបស់វា ហើយម៉ាស៊ីនមេអាចឆ្លើយតបជាមួយនឹងការណែនាំសម្រាប់មេរោគ ដូចជាការប្រតិបត្តិពាក្យបញ្ជាសែល បញ្ចូលកូដទៅក្នុងដំណើរការផ្សេងទៀត ការទាញយកឯកសារជាក់លាក់ ឬថតអេក្រង់។

អ្នកស្រាវជ្រាវបានរកឃើញកំណែមុនរបស់ WhiskerSpy ដែលប្រើពិធីការ FTP ជំនួសឱ្យ HTTP សម្រាប់ទំនាក់ទំនង C2 ។ វ៉ារ្យ៉ង់ចាស់នេះក៏បានពិនិត្យរកមើលវត្តមានរបស់ឧបករណ៍បំបាត់កំហុសនៅពេលប្រតិបត្តិ និងជូនដំណឹងដល់ C2 អំពីលេខកូដស្ថានភាពសមស្រប។ ការរកឃើញទាំងនេះបង្ហាញពីការវិវត្តន៍ឥតឈប់ឈរនៃមេរោគ នៅពេលដែលអ្នកវាយប្រហារសម្របខ្លួន និងកែលម្អឧបករណ៍ និងបច្ចេកទេសរបស់ពួកគេ ដើម្បីគេចពីការរកឃើញ និងបង្កើនប្រសិទ្ធភាពរបស់ពួកគេ។ វាសង្កត់ធ្ងន់លើតម្រូវការសម្រាប់វិធានការសន្តិសុខដ៏រឹងមាំ និងទាន់សម័យ ដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងបែបនេះ។