WhiskerSpy Backdoor

Studiuesit e sigurisë kibernetike kanë zbuluar një derë të re të pasme të njohur si WhiskerSpy, e cila është vendosur nga një grup aktori kërcënimi relativisht i ri, por i avancuar i quajtur Earth Kitsune. Ky grup është bërë i njohur për shënjestrimin e individëve që kanë treguar interes për Korenë e Veriut.

Për të ekzekutuar sulmin e tyre, grupi Earth Kitsune ka përdorur një metodë të njohur si një sulm me vrima lotuese, e cila është një taktikë e provuar dhe efektive për të fituar akses në sistemin e një objektivi. Në këtë sulm, aktorët e kërcënimit identifikojnë një faqe interneti që vizitohet shpesh nga audienca e tyre e synuar dhe e infektojnë atë me malware që u mundëson atyre të kenë akses në pajisjet e vizitorëve kur ata vizitojnë sajtin. Në këtë rast specifik, faqja e internetit që është komprometuar është një faqe interneti pro Koresë së Veriut, e cila vizitohet shpesh nga individë të interesuar për vendin.

Studiuesit e sigurisë kanë monitoruar aktivitetet e Earth Kitsune që nga viti 2019 dhe zbuluan këtë fushatë të fundit në fund të vitit të kaluar. Ky zbulim është domethënës, pasi nënvizon faktin se edhe aktorët relativisht të rinj të kërcënimit po bëhen gjithnjë e më të avancuar dhe përbëjnë një kërcënim të rëndësishëm për individët dhe organizatat.

Infeksioni WhiskerSpy përdor një taktikë sulmi me vrima lotuese

Dora e pasme e WhiskerSpy u shpërndahet vizitorëve që përpiqen të shikojnë video në një faqe interneti të komprometuar. Sulmuesi ka injektuar një skript të korruptuar në faqen e internetit, i cili i shtyn vizitorët të instalojnë një kodek video që supozohet se kërkohet për të ekzekutuar përmbajtjen e shfaqur të videos. Për të shmangur zbulimin, sulmuesi modifikoi një instalues të ligjshëm të kodekut në mënyrë që të ngarkojë përfundimisht një derë të pasme të paparë më parë në sistemin e viktimës.

Sipas studiuesve, aktorët e kërcënimit synonin vetëm vizitorët e faqes në internet që kishin adresa IP nga Shenyang, Kina, Nagoya, Japonia dhe Brazili. Dyshohet se Brazili është përdorur për testimin e sulmit të vrimës së ujit duke përdorur një lidhje VPN dhe objektivat e vërtetë kanë qenë vizitorët nga dy qytetet në Kinë dhe Japoni. Viktimat përkatëse do të merrnin një mesazh gabimi të rremë që i shtynte ata të instalonin një kodek për të parë videon. Sidoqoftë, kodiku ishte, në realitet, një ekzekutues MSI që instaloi një kod shell në kompjuterin e viktimës, duke shkaktuar një seri komandash PowerShell që në fund vendosën prapambetjen e WhiskerSpy.

Në këtë fushatë, Earth Kitsune përdori disa teknika të qëndrueshmërisë për të mbetur i pazbuluar. Një metodë e tillë është abuzimi me hostin vendas të mesazheve në Google Chrome, i cili kishte instaluar një shtesë të komprometuar të Google Chrome të quajtur Google Chrome Helper. Zgjatja lejonte ekzekutimin e ngarkesës sa herë që niste shfletuesi. Një teknikë tjetër e përdorur shfrytëzon dobësitë e ngarkimit anësor të OneDrive, të cilat mundësonin hedhjen e një skedari të pasigurt (të rremë 'vcruntime140.dll') në drejtorinë e OneDrive.

WhiskerSpy ka një listë të gjerë të funksioneve kërcënuese

WhiskerSpy është ngarkesa përfundimtare e vendosur si pjesë e fushatës së sulmit të Earth Kitsune. Backdoor u ofron operatorëve në distancë aftësi të ndryshme, të tilla si një guaskë ndërvepruese, aftësinë për të shkarkuar, ngarkuar dhe fshirë skedarë, listë skedarësh, marrjen e pamjeve nga ekrani, ngarkimin e ekzekutuesve dhe injektimin e kodit të predhës në një proces.

Për të ruajtur komunikimin me serverin e komandës dhe kontrollit (C2, C&C), WhiskerSpy përdor një çelës AES 16 bajt për kriptim. Backdoor lidhet periodikisht me serverin C2 për të marrë përditësime rreth statusit të tij dhe serveri mund të përgjigjet me udhëzime për malware, të tilla si ekzekutimi i komandave të guaskës, injektimi i kodit në një proces tjetër, nxjerrja e skedarëve specifikë ose marrja e pamjeve të ekranit.

Studiuesit kanë zbuluar një version të mëparshëm të WhiskerSpy që përdorte protokollin FTP në vend të HTTP për komunikimin C2. Ky variant i vjetër kontrolloi gjithashtu praninë e një korrigjuesi pas ekzekutimit dhe informoi C2 për kodin e duhur të statusit. Këto gjetje nxjerrin në pah evolucionin e vazhdueshëm të malware pasi sulmuesit përshtatin dhe përsosin mjetet dhe teknikat e tyre për të shmangur zbulimin dhe për të rritur efektivitetin e tyre. Ai thekson nevojën për masa të fuqishme dhe të përditësuara sigurie për t'u mbrojtur nga kërcënime të tilla.