WhiskerSpy Bakdør

Cybersikkerhetsforskere har avdekket en ny bakdør kjent som WhiskerSpy, som har blitt distribuert av en relativt ny, men avansert trusselaktørgruppe ved navn Earth Kitsune. Denne gruppen har blitt kjent for å målrette mot personer som har vist interesse for Nord-Korea.

For å utføre angrepet sitt har Earth Kitsune-gruppen brukt en metode kjent som et vannhullsangrep, som er en bevist og effektiv taktikk for å få tilgang til et måls system. I dette angrepet identifiserer trusselaktørene et nettsted som ofte blir besøkt av deres målpublikum og infiserer det med skadelig programvare som gjør dem i stand til å få tilgang til de besøkendes enheter når de besøker nettstedet. I dette spesifikke tilfellet er nettstedet som ble kompromittert en pro-Nord-Korea-nettsted, som ofte besøkes av enkeltpersoner som er interessert i landet.

Sikkerhetsforskere har overvåket Earth Kitsunes aktiviteter siden 2019 og oppdaget denne siste kampanjen mot slutten av året før. Denne oppdagelsen er betydelig, ettersom den fremhever det faktum at selv relativt nye trusselaktører blir stadig mer avanserte og utgjør en betydelig trussel mot enkeltpersoner og organisasjoner.

WhiskerSpy-infeksjonen bruker en vannhullangrepstaktikk

WhiskerSpy-bakdøren leveres til besøkende som prøver å se videoer på et kompromittert nettsted. Angriperen har injisert et ødelagt skript på nettstedet, som ber besøkende installere en videokodek som visstnok er nødvendig for å kjøre det viste videoinnholdet. For å unngå oppdagelse endret angriperen et legitimt kodekinstallasjonsprogram slik at det til slutt laster en tidligere usett bakdør på offerets system.

Ifølge forskere målrettet trusselaktørene kun besøkende på nettstedet som hadde IP-adresser fra Shenyang, Kina, Nagoya, Japan og Brasil. Det er mistanke om at Brasil ble brukt til å teste vannhullsangrepet ved hjelp av en VPN-forbindelse, og de virkelige målene var besøkende fra de to byene i Kina og Japan. Relevante ofre vil motta en falsk feilmelding som fikk dem til å installere en kodek for å se videoen. Imidlertid var kodeken i virkeligheten en MSI-kjørbar fil som installerte en shellcode på offerets datamaskin, og utløste en serie PowerShell-kommandoer som til slutt distribuerte WhiskerSpy-bakdøren.

I denne kampanjen brukte Earth Kitsune flere utholdenhetsteknikker for å forbli uoppdaget. En slik metode er misbruk av den opprinnelige meldingsverten i Google Chrome, som hadde installert en kompromittert Google Chrome-utvidelse kalt Google Chrome Helper. Utvidelsen tillot utførelse av nyttelasten hver gang nettleseren startet. En annen brukt teknikk utnytter OneDrive-sideinnlastingssårbarheter, som muliggjorde slipp av en usikker fil (falsk 'vcruntime140.dll') i OneDrive-katalogen.

WhiskerSpy har en omfattende liste over truende funksjoner

WhiskerSpy er den siste nyttelasten som er utplassert som en del av Earth Kitsune-angrepskampanjen. Bakdøren gir eksterne operatører ulike funksjoner, for eksempel et interaktivt skall, muligheten til å laste ned, laste opp og slette filer, liste filer, ta skjermbilder, laste inn kjørbare filer og injisere skallkode i en prosess.

For å opprettholde kommunikasjonen med kommando- og kontrollserveren (C2, C&C), bruker WhiskerSpy en 16-byte AES-nøkkel for kryptering. Bakdøren kobles med jevne mellomrom til C2-serveren for å motta oppdateringer om statusen, og serveren kan svare med instruksjoner for skadelig programvare, for eksempel å utføre skallkommandoer, injisere kode i en annen prosess, eksfiltrere spesifikke filer eller ta skjermbilder.

Forskere har oppdaget en tidligere versjon av WhiskerSpy som brukte FTP-protokollen i stedet for HTTP for C2-kommunikasjon. Denne eldre varianten sjekket også for tilstedeværelsen av en debugger ved kjøring og informerte C2 om riktig statuskode. Disse funnene fremhever den konstante utviklingen av skadelig programvare ettersom angripere tilpasser og avgrenser verktøyene og teknikkene sine for å unngå oppdagelse og øke effektiviteten. Den understreker behovet for robuste og oppdaterte sikkerhetstiltak for å beskytte mot slike trusler.