WhiskerSpy Backdoor
Výskumníci v oblasti kybernetickej bezpečnosti odhalili nové zadné vrátka známe ako WhiskerSpy, ktoré nasadila relatívne nová, ale pokročilá skupina aktérov hrozieb s názvom Earth Kitsune. Táto skupina sa stala známou tým, že sa zameriava na jednotlivcov, ktorí prejavili záujem o Severnú Kóreu.
Na vykonanie útoku skupina Earth Kitsune využila metódu známu ako útok na zalievanie, čo je osvedčená a účinná taktika na získanie prístupu k systému cieľa. Pri tomto útoku aktéri hrozby identifikujú webovú stránku, ktorú ich cieľové publikum často navštevuje, a infikujú ju škodlivým softvérom, ktorý im umožňuje získať prístup k zariadeniam návštevníkov, keď stránku navštívia. V tomto konkrétnom prípade je napadnutá webová stránka pro-Severná Kórea, ktorú často navštevujú jednotlivci, ktorí sa zaujímajú o krajinu.
Bezpečnostní výskumníci monitorujú aktivity Earth Kitsune od roku 2019 a túto najnovšiu kampaň objavili koncom predchádzajúceho roka. Tento objav je významný, pretože poukazuje na skutočnosť, že aj relatívne noví aktéri hrozieb sú čoraz pokročilejší a predstavujú významnú hrozbu pre jednotlivcov aj organizácie.
WhiskerSpy Infekcia používa taktiku útoku na zavlažovaciu dieru
Zadné vrátka WhiskerSpy sa doručujú návštevníkom, ktorí sa pokúšajú sledovať videá na napadnutej webovej stránke. Útočník vložil na webovú stránku poškodený skript, ktorý vyzýva návštevníkov, aby si nainštalovali video kodek, ktorý je údajne potrebný na spustenie zobrazeného video obsahu. Aby sa útočník vyhol odhaleniu, upravil legitímny inštalačný program kodeku tak, aby v konečnom dôsledku načítal do systému obete predtým neviditeľné zadné vrátka.
Podľa výskumníkov sa aktéri hrozby zamerali iba na návštevníkov webu, ktorí mali IP adresy z čínskeho Shenyangu, Nagoje, Japonska a Brazílie. Existuje podozrenie, že Brazília bola použitá na testovanie útoku na zavlažovanie pomocou pripojenia VPN a skutočnými cieľmi boli návštevníci z dvoch miest v Číne a Japonsku. Príslušné obete by dostali falošné chybové hlásenie, ktoré ich vyzvalo, aby si nainštalovali kodek na sledovanie videa. Kodek bol však v skutočnosti spustiteľný súbor MSI, ktorý nainštaloval shell kód na počítač obete a spustil sériu príkazov PowerShell, ktoré nakoniec nasadili zadné vrátka WhiskerSpy.
V tejto kampani Earth Kitsune použil niekoľko techník vytrvalosti, aby zostal neodhalený. Jednou z takýchto metód je zneužitie natívneho hostiteľa správ v prehliadači Google Chrome, ktorý mal nainštalované napadnuté rozšírenie prehliadača Google Chrome s názvom Google Chrome Helper. Rozšírenie umožňovalo spustenie užitočného zaťaženia pri každom spustení prehliadača. Ďalšia využívaná technika využíva chyby zabezpečenia pri bočnom načítaní OneDrive, ktoré umožnili vypustenie nebezpečného súboru (falošný „vcruntime140.dll“) do adresára OneDrive.
WhiskerSpy má rozsiahly zoznam hrozivých funkcií
WhiskerSpy je posledný náklad nasadený ako súčasť útočnej kampane Earth Kitsune. Zadné vrátka poskytujú vzdialeným operátorom rôzne možnosti, ako napríklad interaktívny shell, možnosť sťahovať, nahrávať a mazať súbory, vytvárať zoznamy súborov, robiť snímky obrazovky, načítať spustiteľné súbory a vložiť shell kód do procesu.
Na udržanie komunikácie s príkazovým a riadiacim (C2, C&C) serverom WhiskerSpy využíva 16-bajtový kľúč AES na šifrovanie. Zadné vrátka sa pravidelne pripájajú k serveru C2, aby dostávali aktualizácie o svojom stave, a server môže odpovedať pokynmi pre malvér, ako je napríklad vykonanie príkazov shellu, vloženie kódu do iného procesu, exfiltrácia konkrétnych súborov alebo vytvorenie snímok obrazovky.
Výskumníci objavili staršiu verziu WhiskerSpy, ktorá používala na komunikáciu C2 protokol FTP namiesto HTTP. Tento starší variant tiež pri spustení skontroloval prítomnosť debuggera a informoval C2 o príslušnom kóde stavu. Tieto zistenia poukazujú na neustály vývoj malvéru, keď útočníci prispôsobujú a zdokonaľujú svoje nástroje a techniky, aby sa vyhli detekcii a zvýšili svoju efektivitu. Zdôrazňuje potrebu robustných a aktuálnych bezpečnostných opatrení na ochranu pred takýmito hrozbami.
