Backdoor WhiskerSpy

Badacze cyberbezpieczeństwa odkryli nowy backdoor znany jako WhiskerSpy, który został wdrożony przez stosunkowo nową, ale zaawansowaną grupę cyberprzestępców o nazwie Earth Kitsune. Ta grupa stała się dobrze znana z atakowania osób, które wykazały zainteresowanie Koreą Północną.

Aby wykonać swój atak, grupa Earth Kitsune wykorzystała metodę znaną jako atak wodopoju, która jest sprawdzoną i skuteczną taktyką uzyskiwania dostępu do systemu celu. W tym ataku cyberprzestępcy identyfikują witrynę internetową, która jest często odwiedzana przez ich docelowych odbiorców, i infekują ją złośliwym oprogramowaniem, które umożliwia im uzyskanie dostępu do urządzeń odwiedzających, gdy odwiedzają tę witrynę. W tym konkretnym przypadku zaatakowana strona internetowa to strona pro-koreańska, często odwiedzana przez osoby zainteresowane tym krajem.

Badacze bezpieczeństwa monitorują działania Earth Kitsune od 2019 roku i odkryli tę ostatnią kampanię pod koniec poprzedniego roku. To odkrycie jest znaczące, ponieważ podkreśla fakt, że nawet stosunkowo nowe cyberprzestępcy stają się coraz bardziej zaawansowani i stanowią poważne zagrożenie zarówno dla osób fizycznych, jak i organizacji.

Infekcja WhiskerSpy wykorzystuje taktykę ataku wodopoju

Backdoor WhiskerSpy jest dostarczany odwiedzającym, którzy próbują oglądać filmy na zainfekowanej stronie internetowej. Atakujący wstrzyknął do witryny uszkodzony skrypt, który zachęca odwiedzających do zainstalowania kodeka wideo, który rzekomo jest wymagany do uruchomienia wyświetlanej zawartości wideo. Aby uniknąć wykrycia, atakujący zmodyfikował legalny instalator kodeków w taki sposób, że ostatecznie ładuje on wcześniej niewidzianego backdoora w systemie ofiary.

Według badaczy cyberprzestępcy atakowali tylko odwiedzających witrynę, którzy posiadali adresy IP z Shenyang w Chinach, Nagoi, Japonii i Brazylii. Podejrzewa się, że Brazylia została wykorzystana do przetestowania ataku na wodopoje przy użyciu połączenia VPN, a prawdziwymi celami byli goście z dwóch miast w Chinach i Japonii. Odpowiednie ofiary otrzymywały fałszywy komunikat o błędzie, który skłonił je do zainstalowania kodeka w celu obejrzenia wideo. Jednak kodek był w rzeczywistości plikiem wykonywalnym MSI, który instalował kod powłoki na komputerze ofiary, uruchamiając serię poleceń PowerShell, które ostatecznie uruchamiały backdoora WhiskerSpy.

W tej kampanii Earth Kitsune użył kilku technik wytrwałości, aby pozostać niewykrytym. Jedną z takich metod jest nadużycie natywnego hosta wiadomości w Google Chrome, który zainstalował zainfekowane rozszerzenie Google Chrome o nazwie Google Chrome Helper. Rozszerzenie pozwalało na wykonanie ładunku przy każdym uruchomieniu przeglądarki. Inna wykorzystywana technika wykorzystuje luki w zabezpieczeniach OneDrive związane z ładowaniem bocznym, które umożliwiły upuszczenie niebezpiecznego pliku (fałszywego „vcruntime140.dll”) w katalogu OneDrive.

WhiskerSpy ma obszerną listę groźnych funkcji

WhiskerSpy to ostatni ładunek użyty w ramach kampanii ataku Earth Kitsune. Backdoor zapewnia zdalnym operatorom różne możliwości, takie jak interaktywna powłoka, możliwość pobierania, wysyłania i usuwania plików, listy plików, robienia zrzutów ekranu, ładowania plików wykonywalnych i wstrzykiwania kodu powłoki do procesu.

Aby utrzymać komunikację z serwerem dowodzenia i kontroli (C2, C&C), WhiskerSpy wykorzystuje do szyfrowania 16-bajtowy klucz AES. Backdoor okresowo łączy się z serwerem C2, aby otrzymywać aktualizacje dotyczące jego statusu, a serwer może odpowiedzieć instrukcjami dla złośliwego oprogramowania, takimi jak wykonanie poleceń powłoki, wstrzyknięcie kodu do innego procesu, eksfiltracja określonych plików lub zrobienie zrzutów ekranu.

Badacze odkryli wcześniejszą wersję WhiskerSpy, która używała protokołu FTP zamiast HTTP do komunikacji C2. Ten starszy wariant sprawdzał również obecność debuggera podczas wykonywania i informował C2 o odpowiednim kodzie stanu. Odkrycia te podkreślają ciągłą ewolucję złośliwego oprogramowania, ponieważ osoby atakujące dostosowują i udoskonalają swoje narzędzia i techniki, aby uniknąć wykrycia i zwiększyć swoją skuteczność. Podkreśla potrzebę solidnych i aktualnych środków bezpieczeństwa w celu ochrony przed takimi zagrożeniami.