WhiskerSpy Backdoor

Penyelidik keselamatan siber telah menemui pintu belakang baharu yang dikenali sebagai WhiskerSpy, yang telah digunakan oleh kumpulan pelakon ancaman yang agak baru tetapi maju bernama Earth Kitsune. Kumpulan ini telah menjadi terkenal kerana menyasarkan individu yang telah menunjukkan minat terhadap Korea Utara.

Untuk melaksanakan serangan mereka, kumpulan Earth Kitsune telah menggunakan kaedah yang dikenali sebagai serangan lubang berair, yang merupakan taktik yang terbukti dan berkesan untuk mendapatkan akses kepada sistem sasaran. Dalam serangan ini, pelaku ancaman mengenal pasti tapak web yang kerap dilawati oleh khalayak sasaran mereka dan menjangkitinya dengan perisian hasad yang membolehkan mereka mendapat akses kepada peranti pelawat apabila mereka melawat tapak tersebut. Dalam kes khusus ini, laman web yang dikompromi adalah laman web pro-Korea Utara, yang sering dikunjungi oleh individu yang berminat dengan negara tersebut.

Penyelidik keselamatan telah memantau aktiviti Earth Kitsune sejak 2019 dan menemui kempen terbaru ini menjelang akhir tahun sebelumnya. Penemuan ini penting, kerana ia menyerlahkan fakta bahawa walaupun aktor ancaman yang agak baru menjadi semakin maju dan menimbulkan ancaman besar kepada individu dan organisasi.

Jangkitan WhiskerSpy Menggunakan Taktik Serangan Lubang Berair

Pintu belakang WhiskerSpy dihantar kepada pelawat yang cuba menonton video di tapak web yang terjejas. Penyerang telah menyuntik skrip yang rosak ke dalam tapak web, yang menggesa pelawat memasang codec video yang sepatutnya diperlukan untuk menjalankan kandungan video yang dipaparkan. Untuk mengelakkan pengesanan, penyerang mengubah suai pemasang codec yang sah supaya ia akhirnya memuatkan pintu belakang yang sebelum ini tidak kelihatan pada sistem mangsa.

Menurut penyelidik, pelaku ancaman hanya menyasarkan pelawat ke laman web yang mempunyai alamat IP dari Shenyang, China, Nagoya, Jepun dan Brazil. Adalah disyaki bahawa Brazil digunakan untuk menguji serangan lubang air menggunakan sambungan VPN, dan sasaran sebenar adalah pelawat dari dua bandar di China dan Jepun. Mangsa yang berkaitan akan menerima mesej ralat palsu yang mendorong mereka memasang codec untuk menonton video. Walau bagaimanapun, codec itu, pada hakikatnya, boleh laku MSI yang memasang kod shell pada komputer mangsa, mencetuskan satu siri perintah PowerShell yang akhirnya menggunakan pintu belakang WhiskerSpy.

Dalam kempen ini, Earth Kitsune menggunakan beberapa teknik kegigihan untuk kekal tidak dapat dikesan. Satu kaedah sedemikian ialah penyalahgunaan hos pemesejan asli dalam Google Chrome, yang telah memasang sambungan Google Chrome yang terjejas yang dipanggil Google Chrome Helper. Sambungan dibenarkan untuk melaksanakan muatan setiap kali penyemak imbas dimulakan. Satu lagi teknik yang digunakan memanfaatkan kelemahan pemuatan sisi OneDrive, yang membolehkan fail tidak selamat ('vcruntime140.dll' palsu) digugurkan dalam direktori OneDrive.

WhiskerSpy Mempunyai Senarai Luas Fungsi Mengancam

WhiskerSpy ialah muatan terakhir yang digunakan sebagai sebahagian daripada kempen serangan Earth Kitsune. Pintu belakang menyediakan pengendali jauh dengan pelbagai keupayaan, seperti shell interaktif, keupayaan untuk memuat turun, memuat naik dan memadam fail, menyenaraikan fail, mengambil tangkapan skrin, memuatkan boleh laku dan menyuntik shellcode ke dalam proses.

Untuk mengekalkan komunikasi dengan pelayan arahan dan kawalan (C2, C&C), WhiskerSpy menggunakan kunci AES 16-bait untuk penyulitan. Pintu belakang bersambung secara berkala ke pelayan C2 untuk menerima kemas kini tentang statusnya, dan pelayan mungkin bertindak balas dengan arahan untuk perisian hasad, seperti melaksanakan arahan shell, menyuntik kod ke dalam proses lain, mengeluarkan fail tertentu atau mengambil tangkapan skrin.

Penyelidik telah menemui versi awal WhiskerSpy yang menggunakan protokol FTP dan bukannya HTTP untuk komunikasi C2. Varian lama ini juga menyemak kehadiran penyahpepijat semasa pelaksanaan dan memaklumkan C2 tentang kod status yang sesuai. Penemuan ini menyerlahkan evolusi berterusan perisian hasad apabila penyerang menyesuaikan dan memperhalusi alat dan teknik mereka untuk mengelak pengesanan dan meningkatkan keberkesanannya. Ia menekankan keperluan untuk langkah keselamatan yang teguh dan terkini untuk melindungi daripada ancaman tersebut.