Бэкдор WhiskerSpy

Исследователи кибербезопасности обнаружили новый бэкдор, известный как WhiskerSpy, который был развернут относительно новой, но продвинутой группой злоумышленников под названием Earth Kitsune. Эта группа стала известна тем, что преследовала лиц, проявляющих интерес к Северной Корее.

Для выполнения своей атаки группа Earth Kitsune использовала метод, известный как атака водопоя, которая является проверенной и эффективной тактикой для получения доступа к системе цели. В этой атаке злоумышленники определяют веб-сайт, который часто посещает их целевая аудитория, и заражают его вредоносным ПО, которое позволяет им получить доступ к устройствам посетителей, когда они посещают сайт. В данном конкретном случае взломанный веб-сайт является про-северокорейским веб-сайтом, который часто посещают лица, интересующиеся страной.

Исследователи безопасности отслеживают деятельность Earth Kitsune с 2019 года и обнаружили эту последнюю кампанию в конце прошлого года. Это важное открытие, поскольку оно подчеркивает тот факт, что даже относительно новые субъекты угроз становятся все более продвинутыми и представляют серьезную угрозу как для отдельных лиц, так и для организаций.

Инфекция WhiskerSpy использует тактику атаки водопоя

Бэкдор WhiskerSpy доставляется посетителям, которые пытаются посмотреть видео на взломанном веб-сайте. Злоумышленник внедрил на веб-сайт поврежденный скрипт, который предлагает посетителям установить видеокодек, предположительно необходимый для запуска отображаемого видеоконтента. Чтобы избежать обнаружения, злоумышленник модифицировал легитимный установщик кодека, чтобы он в конечном итоге загружал ранее невидимый бэкдор в систему жертвы.

По словам исследователей, злоумышленники нацеливались только на посетителей веб-сайта с IP-адресами из Шэньяна, Китая, Нагои, Японии и Бразилии. Есть подозрение, что Бразилия использовалась для тестирования атаки Watering Hole с использованием VPN-подключения, а реальными целями были посетители из двух городов Китая и Японии. Соответствующие жертвы получат поддельное сообщение об ошибке, в котором им будет предложено установить кодек для просмотра видео. Однако на самом деле кодек был исполняемым файлом MSI, который устанавливал шелл-код на компьютер жертвы, запуская серию команд PowerShell, которые в конечном итоге запускали бэкдор WhiskerSpy.

В этой кампании Земля Кицунэ использовала несколько техник настойчивости, чтобы оставаться незамеченной. Одним из таких методов является злоупотребление собственным узлом обмена сообщениями в Google Chrome, который установил скомпрометированное расширение Google Chrome под названием Google Chrome Helper. Расширение позволяло выполнять полезную нагрузку каждый раз при запуске браузера. Другой используемый метод использует уязвимости OneDrive с боковой загрузкой, которые позволяют сбросить небезопасный файл (поддельный «vcruntime140.dll») в каталог OneDrive.

WhiskerSpy обладает обширным списком угрожающих функций

WhiskerSpy — последняя полезная нагрузка, развернутая в рамках кампании по атаке Earth Kitsune. Бэкдор предоставляет удаленным операторам различные возможности, такие как интерактивная оболочка, возможность загружать, загружать и удалять файлы, составлять список файлов, делать скриншоты, загружать исполняемые файлы и внедрять шелл-код в процесс.

Для поддержания связи с сервером управления и контроля (C2, C&C) WhiskerSpy использует 16-байтовый ключ AES для шифрования. Бэкдор периодически подключается к серверу C2, чтобы получать обновления о своем статусе, и сервер может отвечать инструкциями для вредоносного ПО, такими как выполнение команд оболочки, внедрение кода в другой процесс, эксфильтрация определенных файлов или создание снимков экрана.

Исследователи обнаружили более раннюю версию WhiskerSpy, которая использовала протокол FTP вместо HTTP для связи C2. Этот более старый вариант также проверял наличие отладчика при выполнении и сообщал C2 соответствующий код состояния. Эти результаты подчеркивают постоянную эволюцию вредоносных программ по мере того, как злоумышленники адаптируют и совершенствуют свои инструменты и методы, чтобы избежать обнаружения и повысить свою эффективность. В нем подчеркивается необходимость надежных и современных мер безопасности для защиты от таких угроз.