WhiskerSpy Backdoor

Истраживачи сајбер безбедности открили су нови бацкдоор познат као ВхискерСпи, који је применила релативно нова, али напредна група актера претњи по имену Еартх Китсуне. Ова група је постала позната по томе што циља на појединце који су показали интересовање за Северну Кореју.

Да би извршили свој напад, група Еартх Китсуне је користила метод познат као напад на заливање, што је доказана и ефикасна тактика за добијање приступа систему мете. У овом нападу, актери претњи идентификују веб локацију коју њихова циљана публика често посећује и заразе је малвером који им омогућава да добију приступ уређајима посетилаца када посете сајт. У овом конкретном случају, сајт који је компромитован је про-Севернокорејски веб-сајт, који често посећују појединци који су заинтересовани за земљу.

Истраживачи безбедности прате активности Еартх Китсуне од 2019. године и открили су ову најновију кампању крајем прошле године. Ово откриће је значајно, јер наглашава чињеницу да чак и релативно нови актери претњи постају све напреднији и представљају значајну претњу како појединцима тако и организацијама.

Инфекција ВхискерСпи користи тактику напада кроз воду

ВхискерСпи бацкдоор се испоручује посетиоцима који покушавају да гледају видео записе на компромитованој веб локацији. Нападач је убацио оштећену скрипту на веб локацију, која подстиче посетиоце да инсталирају видео кодек који је наводно потребан за покретање приказаног видео садржаја. Да би избегао откривање, нападач је модификовао легитимни инсталатер кодека тако да на крају учитава претходно невидљива позадинска врата на систему жртве.

Према истраживачима, актери претње су циљали само на посетиоце веб локације који су имали ИП адресе из Шењанга, Кине, Нагоје, Јапана и Бразила. Сумња се да је Бразил коришћен за тестирање напада на воду помоћу ВПН везе, а праве мете су били посетиоци из два града у Кини и Јапану. Релевантне жртве би добиле лажну поруку о грешци која их је навела да инсталирају кодек за гледање видеа. Међутим, кодек је у стварности био МСИ извршна датотека која је инсталирала схеллцоде на рачунар жртве, покрећући серију ПоверСхелл команди које су на крају примениле ВхискерСпи бацкдоор.

У овој кампањи, Еартх Китсуне је користила неколико техника упорности како би остала неоткривена. Један такав метод је злоупотреба матичног хоста за размену порука у Гоогле Цхроме-у, који је инсталирао компромитовану екстензију за Гоогле Цхроме под називом Гоогле Цхроме Хелпер. Екстензија је дозвољавала извршавање корисног учитавања сваки пут када се претраживач покрене. Друга коришћена техника користи рањивости бочног учитавања ОнеДриве-а, што је омогућило испуштање небезбедне датотеке (лажни 'вцрунтиме140.длл') у ОнеДриве директоријум.

ВхискерСпи има опсежну листу претећих функционалности

ВхискерСпи је последњи терет који је распоређен као део кампање за напад на Еартх Китсуне. Бацкдоор пружа удаљеним оператерима различите могућности, као што је интерактивна шкољка, могућност преузимања, отпремања и брисања датотека, листа датотека, прављења снимака екрана, учитавања извршних датотека и убацивања схелл кода у процес.

Да би одржао комуникацију са сервером за команду и контролу (Ц2, Ц&Ц), ВхискерСпи користи 16-бајтни АЕС кључ за шифровање. Бацкдоор се повремено повезује са Ц2 сервером да би примио ажурирања о свом статусу, а сервер може да одговори упутствима за малвер, као што је извршавање команди љуске, убацивање кода у други процес, ексфилтрирање одређених датотека или прављење снимака екрана.

Истраживачи су открили ранију верзију ВхискерСпи-а која је користила ФТП протокол уместо ХТТП за Ц2 комуникацију. Ова старија варијанта је такође проверавала присуство дебагера по извршењу и обавестила Ц2 о одговарајућем статусном коду. Ови налази наглашавају сталну еволуцију малвера док се нападачи прилагођавају и усавршавају своје алате и технике како би избегли откривање и повећали своју ефикасност. Наглашава потребу за снажним и ажурираним безбедносним мерама за заштиту од таквих претњи.