WhiskerSpy Backdoor

Cyberbeveiligingsonderzoekers hebben een nieuwe achterdeur ontdekt, bekend als WhiskerSpy, die is ingezet door een relatief nieuwe maar geavanceerde dreigingsacteurgroep genaamd Earth Kitsune. Deze groep is bekend geworden omdat ze zich richt op personen die interesse hebben getoond in Noord-Korea.

Om hun aanval uit te voeren, heeft de Earth Kitsune-groep een methode gebruikt die bekend staat als een watering hole-aanval, wat een bewezen en effectieve tactiek is om toegang te krijgen tot het systeem van een doelwit. Bij deze aanval identificeren de bedreigingsactoren een website die vaak wordt bezocht door hun doelgroep en infecteren deze met malware waarmee ze toegang kunnen krijgen tot de apparaten van de bezoekers wanneer ze de site bezoeken. In dit specifieke geval is de gecompromitteerde website een pro-Noord-Koreaanse website, die vaak wordt bezocht door individuen die geïnteresseerd zijn in het land.

Beveiligingsonderzoekers volgen de activiteiten van Earth Kitsune sinds 2019 en ontdekten deze nieuwste campagne tegen het einde van het voorgaande jaar. Deze ontdekking is belangrijk, omdat het benadrukt dat zelfs relatief nieuwe dreigingsactoren steeds geavanceerder worden en een aanzienlijke bedreiging vormen voor zowel individuen als organisaties.

De WhiskerSpy-infectie maakt gebruik van een aanvalstactiek voor een drinkplaats

De WhiskerSpy-achterdeur wordt geleverd aan bezoekers die proberen video's te bekijken op een gecompromitteerde website. De aanvaller heeft een beschadigd script in de website geïnjecteerd, dat bezoekers ertoe aanzet een videocodec te installeren die zogenaamd nodig is om de weergegeven video-inhoud uit te voeren. Om detectie te voorkomen, heeft de aanvaller een legitiem codec-installatieprogramma aangepast, zodat het uiteindelijk een voorheen onzichtbare achterdeur op het systeem van het slachtoffer laadt.

Volgens onderzoekers richtten de aanvallers zich alleen op bezoekers van de website die IP-adressen hadden uit Shenyang, China, Nagoya, Japan en Brazilië. Vermoed wordt dat Brazilië werd gebruikt voor het testen van de waterpoelaanval met behulp van een VPN-verbinding, en de echte doelen waren bezoekers uit de twee steden in China en Japan. Relevante slachtoffers zouden een nep-foutmelding ontvangen die hen ertoe aanzette een codec te installeren om de video te bekijken. De codec was in werkelijkheid echter een MSI-uitvoerbaar bestand dat een shellcode op de computer van het slachtoffer installeerde, waardoor een reeks PowerShell-commando's werd geactiveerd die uiteindelijk de WhiskerSpy-achterdeur in werking stelden.

In deze campagne gebruikte Earth Kitsune verschillende persistentietechnieken om onopgemerkt te blijven. Een van die methoden is het misbruik van de native messaging-host in Google Chrome, die een gecompromitteerde Google Chrome-extensie genaamd Google Chrome Helper had geïnstalleerd. De extensie stond de uitvoering van de payload toe elke keer dat de browser startte. Een andere gebruikte techniek maakt gebruik van OneDrive side-loading-kwetsbaarheden, waardoor een onveilig bestand (nep 'vcruntime140.dll') in de OneDrive-directory kon worden neergezet.

WhiskerSpy heeft een uitgebreide lijst met bedreigende functionaliteiten

WhiskerSpy is de laatste payload die wordt ingezet als onderdeel van de Earth Kitsune-aanvalscampagne. De achterdeur biedt externe operators verschillende mogelijkheden, zoals een interactieve shell, de mogelijkheid om bestanden te downloaden, uploaden en verwijderen, bestanden op te sommen, screenshots te maken, uitvoerbare bestanden te laden en shellcode in een proces te injecteren.

Om de communicatie met de command and control-server (C2, C&C) te behouden, gebruikt WhiskerSpy een 16-byte AES-sleutel voor codering. De backdoor maakt periodiek verbinding met de C2-server om updates over de status te ontvangen, en de server kan reageren met instructies voor de malware, zoals het uitvoeren van shell-opdrachten, het injecteren van code in een ander proces, het exfiltreren van specifieke bestanden of het maken van screenshots.

Onderzoekers hebben een eerdere versie van WhiskerSpy ontdekt die het FTP-protocol gebruikte in plaats van HTTP voor C2-communicatie. Deze oudere variant controleerde ook op de aanwezigheid van een debugger bij uitvoering en informeerde de C2 over de juiste statuscode. Deze bevindingen benadrukken de constante evolutie van malware terwijl aanvallers hun tools en technieken aanpassen en verfijnen om detectie te omzeilen en hun effectiviteit te vergroten. Het benadrukt de noodzaak van robuuste en up-to-date beveiligingsmaatregelen ter bescherming tegen dergelijke bedreigingen.