WhiskerSpy Backdoor
Kibernetinio saugumo tyrinėtojai atskleidė naujas užpakalines duris, žinomą kaip „WhiskerSpy“, kurią įdiegė palyginti nauja, bet pažangi grėsmių veikėjų grupė, pavadinta „Earth Kitsune“. Ši grupė tapo gerai žinoma dėl to, kad taikėsi į asmenis, kurie parodė susidomėjimą Šiaurės Korėja.
Norėdami įvykdyti savo ataką, „Earth Kitsune“ grupė panaudojo metodą, žinomą kaip „girdymo duobės“ ataka, kuri yra patikrinta ir veiksminga taktika norint pasiekti taikinio sistemą. Šios atakos metu grėsmės veikėjai nustato svetainę, kurioje dažnai lankosi jų tikslinė auditorija, ir užkrečia ją kenkėjiška programa, kuri leidžia jiems pasiekti lankytojų įrenginius, kai jie lankosi svetainėje. Šiuo konkrečiu atveju pažeista svetainė yra Šiaurės Korėją remianti svetainė, kurioje dažnai lankosi šia šalimi besidomintys asmenys.
Saugumo tyrinėtojai stebėjo „Earth Kitsune“ veiklą nuo 2019 m., o šią naujausią kampaniją atrado praėjusių metų pabaigoje. Šis atradimas yra reikšmingas, nes pabrėžia faktą, kad net palyginti nauji grėsmės veikėjai tampa vis labiau pažengę ir kelia didelę grėsmę asmenims ir organizacijoms.
WhiskerSpy infekcija naudoja laistymo skylės puolimo taktiką
„WhiskerSpy“ užpakalinės durys pristatomos lankytojams, kurie bando žiūrėti vaizdo įrašus pažeistoje svetainėje. Užpuolikas į svetainę įleido sugadintą scenarijų, kuris ragina lankytojus įdiegti vaizdo kodeką, kuris tariamai reikalingas rodomam vaizdo turiniui paleisti. Siekdamas išvengti aptikimo, užpuolikas modifikavo teisėtą kodeko diegimo programą, kad ji galiausiai įkeltų anksčiau nematytą užpakalines duris į aukos sistemą.
Tyrėjų teigimu, grėsmės veikėjai nusitaikė tik į svetainės lankytojus, kurie turėjo IP adresus iš Šenjango, Kinijos, Nagojos, Japonijos ir Brazilijos. Įtariama, kad Brazilija buvo naudojama bandant vandenvietės ataką naudojant VPN ryšį, o tikrieji taikiniai buvo lankytojai iš dviejų Kinijos ir Japonijos miestų. Atitinkamos aukos gautų netikrą klaidos pranešimą, raginantį įdiegti kodeką, kad galėtų žiūrėti vaizdo įrašą. Tačiau kodekas iš tikrųjų buvo MSI vykdomasis failas, kuris aukos kompiuteryje įdiegė apvalkalo kodą, suaktyvindamas „PowerShell“ komandų seriją, kurios galiausiai įdiegė „WhiskerSpy“ užpakalines duris.
Šioje kampanijoje „Earth Kitsune“ naudojo keletą atkaklumo metodų, kad liktų nepastebėtas. Vienas iš tokių būdų yra piktnaudžiavimas vietine pranešimų priegloba „Google Chrome“, kuri įdiegė pažeistą „Google Chrome“ plėtinį, vadinamą „Google Chrome Helper“. Plėtinys leido vykdyti naudingą apkrovą kiekvieną kartą paleidus naršyklę. Kitas naudojamas metodas išnaudoja „OneDrive“ šoninio įkėlimo spragas, kurios leido „OneDrive“ kataloge išmesti nesaugų failą (netikrą „vcruntime140.dll“).
„WhiskerSpy“ turi platų grėsmingų funkcijų sąrašą
„WhiskerSpy“ yra paskutinė naudingoji apkrova, panaudota kaip „Earth Kitsune“ atakos kampanijos dalis. Užpakalinės durys nuotoliniams operatoriams suteikia įvairias galimybes, tokias kaip interaktyvus apvalkalas, galimybė atsisiųsti, įkelti ir ištrinti failus, išvardyti failus, daryti ekrano kopijas, įkelti vykdomuosius failus ir įterpti apvalkalo kodą į procesą.
Norėdami palaikyti ryšį su komandų ir valdymo (C2, C&C) serveriu, „WhiskerSpy“ šifravimui naudoja 16 baitų AES raktą. Užpakalinės durys periodiškai prisijungia prie C2 serverio, kad gautų atnaujinimus apie jo būseną, o serveris gali atsakyti pateikdamas nurodymus dėl kenkėjiškos programos, pvz., vykdyti apvalkalo komandas, įvesti kodą į kitą procesą, išfiltruoti konkrečius failus arba daryti ekrano kopijas.
Tyrėjai atrado ankstesnę „WhiskerSpy“ versiją, kuri C2 ryšiui naudojo FTP protokolą, o ne HTTP. Šis senesnis variantas vykdymo metu taip pat patikrino, ar nėra derinimo priemonės, ir informavo C2 apie atitinkamą būsenos kodą. Šios išvados pabrėžia nuolatinę kenkėjiškų programų evoliuciją, nes užpuolikai prisitaiko ir tobulina savo įrankius ir metodus, kad išvengtų aptikimo ir padidintų jų efektyvumą. Jame pabrėžiamas tvirtų ir naujausių saugumo priemonių, skirtų apsisaugoti nuo tokių grėsmių, poreikis.
