WhiskerSpy 백도어

사이버 보안 연구원들은 WhiskerSpy라는 새로운 백도어를 발견했습니다. 이 백도어는 비교적 새롭지만 발전된 공격자 그룹인 Earth Kitsune에 의해 배포되었습니다. 이 그룹은 북한에 관심을 보이는 개인을 표적으로 삼는 것으로 유명해졌습니다.

공격을 실행하기 위해 Earth Kitsune 그룹은 워터링 홀 공격으로 알려진 방법을 활용했습니다. 이 방법은 대상 시스템에 대한 액세스 권한을 얻기 위한 입증되고 효과적인 전술입니다. 이 공격에서 위협 행위자는 대상 고객이 자주 방문하는 웹사이트를 식별하고 방문자가 사이트를 방문할 때 방문자의 장치에 액세스할 수 있도록 하는 멀웨어로 해당 웹사이트를 감염시킵니다. 이 특정 사례에서 손상된 웹사이트는 북한에 관심이 있는 개인이 자주 방문하는 친북 웹사이트입니다.

보안 연구원들은 2019년부터 Earth Kitsune의 활동을 모니터링해 왔으며 작년 말에 이 최신 캠페인을 발견했습니다. 이 발견은 상대적으로 새로운 위협 행위자조차도 점점 더 발전하고 개인과 조직 모두에게 중대한 위협이 된다는 사실을 강조한다는 점에서 중요합니다.

WhiskerSpy 감염은 워터링 홀 공격 전술을 사용합니다.

WhiskerSpy 백도어는 손상된 웹사이트에서 비디오를 보려고 시도하는 방문자에게 전달됩니다. 공격자는 손상된 스크립트를 웹 사이트에 삽입하여 방문자에게 표시된 비디오 콘텐츠를 실행하는 데 필요한 것으로 추정되는 비디오 코덱을 설치하도록 합니다. 탐지를 피하기 위해 공격자는 적법한 코덱 설치 프로그램을 수정하여 궁극적으로 피해자의 시스템에서 이전에 볼 수 없었던 백도어를 로드했습니다.

연구원들에 따르면 공격자들은 중국 선양, 일본, 브라질, 나고야 IP 주소를 가진 웹사이트 방문자만을 목표로 삼았습니다. VPN 연결을 이용한 워터링 홀 공격 테스트에 브라질이 이용된 것으로 추정되며, 실제 타깃은 중국과 일본 두 도시에서 온 방문자들이었습니다. 관련 피해자는 비디오를 보기 위해 코덱을 설치하라는 가짜 오류 메시지를 받게 됩니다. 그러나 실제로 이 코덱은 피해자의 컴퓨터에 셸코드를 설치하는 MSI 실행 파일로 일련의 PowerShell 명령을 실행하여 최종적으로 WhiskerSpy 백도어를 배포했습니다.

이 캠페인에서 Earth Kitsune은 탐지되지 않는 상태를 유지하기 위해 몇 가지 지속성 기술을 사용했습니다. 이러한 방법 중 하나는 Google Chrome Helper라는 손상된 Google Chrome 확장 프로그램을 설치한 Google Chrome의 기본 메시징 호스트를 남용하는 것입니다. 확장은 브라우저가 시작될 때마다 페이로드 실행을 허용했습니다. 또 다른 활용 기술은 OneDrive 디렉터리에 안전하지 않은 파일(가짜 'vcruntime140.dll')을 드롭할 수 있는 OneDrive 사이드 로딩 취약점을 활용합니다.

WhiskerSpy에는 광범위한 위협 기능 목록이 있습니다.

WhiskerSpy는 Earth Kitsune 공격 캠페인의 일부로 배포된 최종 페이로드입니다. 백도어는 대화형 셸, 파일 다운로드, 업로드 및 삭제, 파일 나열, 스크린샷 찍기, 실행 파일 로드, 프로세스에 셸코드 삽입 등의 다양한 기능을 원격 운영자에게 제공합니다.

명령 및 제어(C2, C&C) 서버와의 통신을 유지하기 위해 WhiskerSpy는 암호화에 16바이트 AES 키를 사용합니다. 백도어는 주기적으로 C2 서버에 연결하여 상태에 대한 업데이트를 수신하고 서버는 셸 명령 실행, 다른 프로세스에 코드 주입, 특정 파일 유출 또는 스크린샷 촬영과 같은 악성 코드에 대한 명령으로 응답할 수 있습니다.

연구원들은 C2 통신에 HTTP 대신 FTP 프로토콜을 사용하는 이전 버전의 WhiskerSpy를 발견했습니다. 이 이전 변종은 또한 실행 시 디버거의 존재를 확인하고 C2에 적절한 상태 코드를 알렸습니다. 이러한 결과는 공격자가 탐지를 피하고 효율성을 높이기 위해 도구와 기술을 조정하고 개선함에 따라 맬웨어가 지속적으로 진화하고 있음을 강조합니다. 이러한 위협으로부터 보호하기 위한 강력한 최신 보안 조치의 필요성을 강조합니다.