WhiskerSpy ब्याकडोर
साइबरसुरक्षा अनुसन्धानकर्ताहरूले WhiskerSpy भनेर चिनिने नयाँ ब्याकडोर पत्ता लगाएका छन्, जुन अर्थ किट्सुन नामको अपेक्षाकृत नयाँ तर उन्नत खतरा अभिनेता समूह द्वारा तैनात गरिएको छ। यो समूह उत्तर कोरियामा चासो देखाउने व्यक्तिहरूलाई लक्षित गर्नको लागि प्रख्यात भएको छ।
तिनीहरूको आक्रमणलाई कार्यान्वयन गर्न, Earth Kitsune समूहले पानीको प्वाल आक्रमण भनेर चिनिने विधि प्रयोग गरेको छ, जुन लक्ष्यको प्रणालीमा पहुँच प्राप्त गर्नको लागि सिद्ध र प्रभावकारी रणनीति हो। यस आक्रमणमा, धम्की दिने व्यक्तिहरूले उनीहरूको लक्षित दर्शकहरू द्वारा बारम्बार भ्रमण गर्ने वेबसाइट पहिचान गर्छन् र यसलाई मालवेयरले संक्रमित गर्छन् जसले उनीहरूलाई साइट भ्रमण गर्दा आगन्तुकहरूको उपकरणहरूमा पहुँच प्राप्त गर्न सक्षम बनाउँदछ। यस विशिष्ट अवस्थामा, सम्झौता गरिएको वेबसाइट उत्तर कोरिया समर्थक वेबसाइट हो, जुन देशमा रुचि राख्ने व्यक्तिहरू द्वारा बारम्बार भ्रमण गरिन्छ।
सुरक्षा अनुसन्धानकर्ताहरूले सन् २०१९ देखि पृथ्वी किट्सुनका गतिविधिहरू निगरानी गरिरहेका छन् र अघिल्लो वर्षको अन्त्यतिर यो पछिल्लो अभियान पत्ता लगाएका छन्। यो खोज महत्त्वपूर्ण छ, किनकि यसले तथ्यलाई हाइलाइट गर्दछ कि अपेक्षाकृत नयाँ खतरा अभिनेताहरू पनि बढ्दो रूपमा उन्नत हुँदै गएका छन् र व्यक्ति र संस्थाहरूलाई समान रूपमा महत्त्वपूर्ण खतरा बनाउँछन्।
WhiskerSpy संक्रमणले वाटरिङ होल आक्रमण रणनीति प्रयोग गर्दछ
WhiskerSpy ब्याकडोर एक सम्झौता गरिएको वेबसाइटमा भिडियोहरू हेर्न प्रयास गर्ने आगन्तुकहरूलाई डेलिभर गरिन्छ। आक्रमणकारीले वेबसाइटमा भ्रष्ट स्क्रिप्ट इन्जेक्ट गरेको छ, जसले आगन्तुकहरूलाई भिडियो कोडेक स्थापना गर्न प्रेरित गर्दछ जुन प्रदर्शन गरिएको भिडियो सामग्री चलाउन आवश्यक छ। पत्ता लगाउनबाट बच्नको लागि, आक्रमणकारीले वैध कोडेक स्थापनाकर्तालाई परिमार्जन गर्यो ताकि यसले अन्ततः पीडितको प्रणालीमा पहिले नदेखिएको ब्याकडोर लोड गर्छ।
अन्वेषकहरूका अनुसार धम्की दिने व्यक्तिहरूले शेनयाङ, चीन, नागोया, जापान र ब्राजिलका आईपी ठेगानाहरू भएका वेबसाइटका आगन्तुकहरूलाई मात्र लक्षित गरेका थिए। यो शंका छ कि ब्राजिल एक VPN जडान प्रयोग गरेर पानी प्वाल आक्रमण परीक्षणको लागि प्रयोग गरिएको थियो, र वास्तविक लक्ष्य चीन र जापानका दुई शहरहरूबाट आगन्तुकहरू थिए। सम्बन्धित पीडितहरूले नक्कली त्रुटि सन्देश प्राप्त गर्नेछन् जसले तिनीहरूलाई भिडियो हेर्नको लागि कोडेक स्थापना गर्न प्रेरित गर्यो। यद्यपि, कोडेक, वास्तवमा, एक MSI कार्यान्वयनयोग्य थियो जसले पीडितको कम्प्युटरमा शेलकोड स्थापना गर्यो, जसले PowerShell आदेशहरूको श्रृंखला ट्रिगर गर्यो जसले अन्ततः WhiskerSpy ब्याकडोरलाई डिप्लोय गर्यो।
यस अभियानमा, Earth Kitsune ले पत्ता नलाग्न धेरै दृढता प्रविधिहरू प्रयोग गर्यो। एउटा यस्तो विधि गुगल क्रोममा नेटिभ मेसेजिङ होस्टको दुरुपयोग हो, जसले गुगल क्रोम हेल्पर नामक सम्झौता गुगल क्रोम विस्तार स्थापना गरेको थियो। प्रत्येक पटक ब्राउजर सुरु हुँदा पेलोडको कार्यान्वयनको लागि अनुमति दिइएको विस्तार। अर्को प्रयोग गरिएको प्रविधिले OneDrive साइड-लोडिङ कमजोरीहरूको लाभ उठाउँछ, जसले OneDrive डाइरेक्टरीमा असुरक्षित फाइल (नक्कली 'vcruntime140.dll') छोड्न सक्षम बनायो।
WhiskerSpy सँग धम्की दिने कार्यक्षमताहरूको विस्तृत सूची छ
WhiskerSpy पृथ्वी Kitsune आक्रमण अभियान को एक भाग को रूप मा तैनात अन्तिम पेलोड हो। ब्याकडोरले रिमोट अपरेटरहरूलाई विभिन्न क्षमताहरू प्रदान गर्दछ, जस्तै अन्तरक्रियात्मक शेल, फाइलहरू डाउनलोड गर्ने, अपलोड गर्ने र मेटाउने क्षमता, फाइलहरू सूचीबद्ध गर्ने, स्क्रिनसटहरू लिन, कार्यान्वयन योग्यहरू लोड गर्ने र शेलकोडलाई प्रक्रियामा इन्जेक्ट गर्ने।
आदेश र नियन्त्रण (C2, C&C) सर्भरसँग सञ्चार कायम राख्न, WhiskerSpy ले एन्क्रिप्शनको लागि 16-बाइट AES कुञ्जी प्रयोग गर्दछ। ब्याकडोरले आवधिक रूपमा यसको स्थितिको बारेमा अद्यावधिकहरू प्राप्त गर्न C2 सर्भरमा जडान गर्दछ, र सर्भरले शेल आदेशहरू कार्यान्वयन गर्ने, कोडलाई अर्को प्रक्रियामा इन्जेक्सन गर्ने, विशिष्ट फाइलहरू बाहिर निकाल्ने वा स्क्रिनसटहरू लिने जस्ता मालवेयरका लागि निर्देशनहरूको साथ प्रतिक्रिया दिन सक्छ।
अन्वेषकहरूले WhiskerSpy को पहिलेको संस्करण पत्ता लगाएका छन् जसले C2 संचारको लागि HTTP को सट्टा FTP प्रोटोकल प्रयोग गर्यो। यो पुरानो भेरियन्टले कार्यान्वयनमा डिबगरको उपस्थितिको लागि पनि जाँच गर्यो र उपयुक्त स्थिति कोडको C2 लाई सूचित गर्यो। यी खोजहरूले मालवेयरको निरन्तर विकासलाई हाइलाइट गर्दछ किनकि आक्रमणकारीहरूले पत्ता लगाउनबाट बच्न र तिनीहरूको प्रभावकारिता बढाउन तिनीहरूका उपकरण र प्रविधिहरू अनुकूलन र परिष्कृत गर्छन्। यसले त्यस्ता खतराहरूबाट जोगाउन बलियो र अद्यावधिक सुरक्षा उपायहरूको आवश्यकतालाई जोड दिन्छ।
