WhiskerSpy Backdoor

Raziskovalci kibernetske varnosti so odkrili nova stranska vrata, znana kot WhiskerSpy, ki jih je uvedla razmeroma nova, a napredna skupina akterjev groženj, imenovana Earth Kitsune. Ta skupina je postala znana po tem, da cilja na posameznike, ki so pokazali zanimanje za Severno Korejo.

Skupina Earth Kitsune je za izvedbo svojega napada uporabila metodo, znano kot napad z vodno luknjo, ki je dokazana in učinkovita taktika za dostop do ciljnega sistema. V tem napadu akterji grožnje prepoznajo spletno mesto, ki ga ciljno občinstvo pogosto obiskuje, in ga okužijo z zlonamerno programsko opremo, ki jim omogoči dostop do naprav obiskovalcev, ko obiščejo spletno mesto. V tem konkretnem primeru je bilo ogroženo spletno mesto pro-Severno Korejo, ki ga pogosto obiskujejo posamezniki, ki jih država zanima.

Varnostni raziskovalci spremljajo dejavnosti Earth Kitsune od leta 2019 in odkrili to zadnjo kampanjo proti koncu prejšnjega leta. To odkritje je pomembno, saj poudarja dejstvo, da tudi razmeroma novi akterji groženj postajajo vse bolj napredni in predstavljajo pomembno grožnjo tako posameznikom kot organizacijam.

Okužba WhiskerSpy uporablja taktiko napada na vodno luknjo

Zadnja vrata WhiskerSpy so dostavljena obiskovalcem, ki poskušajo gledati videoposnetke na ogroženem spletnem mestu. Napadalec je na spletno stran vstavil poškodovan skript, ki obiskovalce poziva, naj namestijo video kodek, ki naj bi bil potreben za zagon prikazane video vsebine. Da bi se izognil odkritju, je napadalec spremenil legitimen namestitveni program kodeka, tako da na koncu naloži stranska vrata, ki prej niso bila vidna v sistem žrtve.

Po mnenju raziskovalcev so akterji grožnje ciljali le na obiskovalce spletnega mesta, ki so imeli naslove IP iz Shenyanga na Kitajskem, Nagoye, Japonske in Brazilije. Domneva se, da je bila Brazilija uporabljena za testiranje napada na vodno luknjo prek povezave VPN, prave tarče pa so bili obiskovalci iz obeh mest na Kitajskem in Japonskem. Ustrezne žrtve bi prejele lažno sporočilo o napaki, ki bi jih pozvalo k namestitvi kodeka za ogled videa. Vendar pa je bil kodek v resnici izvršljiva datoteka MSI, ki je na žrtvin računalnik namestila lupinsko kodo in sprožila vrsto ukazov PowerShell, ki so na koncu namestili stranska vrata WhiskerSpy.

V tej kampanji je Earth Kitsune uporabil več tehnik vztrajnosti, da bi ostal neodkrit. Ena taka metoda je zloraba domačega gostitelja za sporočanje v Google Chromu, ki je namestil ogroženo razširitev za Google Chrome, imenovano Google Chrome Helper. Razširitev je omogočila izvajanje koristnega tovora ob vsakem zagonu brskalnika. Druga uporabljena tehnika izkorišča ranljivosti pri stranskem nalaganju OneDrive, ki je omogočila izbris nevarne datoteke (lažnega 'vcruntime140.dll') v imeniku OneDrive.

WhiskerSpy ima obsežen seznam nevarnih funkcij

WhiskerSpy je zadnji koristni tovor, ki je bil uporabljen kot del kampanje napada Earth Kitsune. Backdoor ponuja oddaljenim operaterjem različne zmožnosti, kot je interaktivna lupina, možnost prenosa, nalaganja in brisanja datotek, seznam datotek, snemanje posnetkov zaslona, nalaganje izvedljivih datotek in vstavljanje lupinske kode v proces.

Za vzdrževanje komunikacije s strežnikom za ukaze in nadzor (C2, C&C) WhiskerSpy za šifriranje uporablja 16-bajtni ključ AES. Zakulisna vrata se občasno povežejo s strežnikom C2, da prejmejo posodobitve o svojem statusu, strežnik pa se lahko odzove z navodili za zlonamerno programsko opremo, kot je izvajanje ukazov lupine, vbrizgavanje kode v drug proces, eksfiltracija določenih datotek ali snemanje posnetkov zaslona.

Raziskovalci so odkrili prejšnjo različico WhiskerSpy, ki je za komunikacijo C2 uporabljala protokol FTP namesto HTTP. Ta starejša različica je ob izvedbi tudi preverila prisotnost razhroščevalnika in obvestila C2 o ustrezni statusni kodi. Te ugotovitve poudarjajo stalen razvoj zlonamerne programske opreme, saj napadalci prilagajajo in izpopolnjujejo svoja orodja in tehnike, da bi se izognili odkrivanju in povečali njihovo učinkovitost. Poudarja potrebo po robustnih in posodobljenih varnostnih ukrepih za zaščito pred takšnimi grožnjami.