WhiskerSpy Bakdörr

Cybersäkerhetsforskare har avslöjat en ny bakdörr känd som WhiskerSpy, som har distribuerats av en relativt ny men avancerad hotaktörsgrupp vid namn Earth Kitsune. Den här gruppen har blivit känd för att rikta sig mot individer som har visat intresse för Nordkorea.

För att utföra sin attack har Earth Kitsune-gruppen använt en metod som kallas vattenhålsattack, vilket är en beprövad och effektiv taktik för att få tillgång till ett måls system. I denna attack identifierar hotaktörerna en webbplats som ofta besöks av deras målgrupp och infekterar den med skadlig programvara som gör att de kan få tillgång till besökarnas enheter när de besöker webbplatsen. I det här specifika fallet är webbplatsen som äventyrades en pro-Nordkorea webbplats, som ofta besöks av individer som är intresserade av landet.

Säkerhetsforskare har övervakat Earth Kitsunes aktiviteter sedan 2019 och upptäckte den senaste kampanjen mot slutet av föregående år. Denna upptäckt är betydelsefull, eftersom den belyser det faktum att även relativt nya hotaktörer blir alltmer avancerade och utgör ett betydande hot mot både individer och organisationer.

WhiskerSpy-infektionen använder en taktik för attack med vattenhål

WhiskerSpy-bakdörren levereras till besökare som försöker titta på videor på en utsatt webbplats. Angriparen har injicerat ett skadat skript på webbplatsen, vilket uppmanar besökare att installera en videocodec som förmodligen krävs för att köra det visade videoinnehållet. För att undvika upptäckt ändrade angriparen en legitim codec-installerare så att den till slut laddar en tidigare osynlig bakdörr på offrets system.

Enligt forskare riktade hotaktörerna sig endast på besökare på webbplatsen som hade IP-adresser från Shenyang, Kina, Nagoya, Japan och Brasilien. Det misstänks att Brasilien användes för att testa vattenhålsattacken med en VPN-anslutning, och de verkliga målen var besökare från de två städerna i Kina och Japan. Relevanta offer skulle få ett falskt felmeddelande som uppmanade dem att installera en codec för att se videon. Codec var dock i verkligheten en MSI-körbar fil som installerade en skalkod på offrets dator, vilket utlöste en serie PowerShell-kommandon som till slut distribuerade WhiskerSpy-bakdörren.

I den här kampanjen använde Earth Kitsune flera uthållighetstekniker för att förbli oupptäckt. En sådan metod är missbruk av den inbyggda meddelandevärden i Google Chrome, som hade installerat en komprometterad Google Chrome-tillägg som heter Google Chrome Helper. Tillägget gjorde det möjligt att köra nyttolasten varje gång webbläsaren startade. En annan använd teknik utnyttjar OneDrive sidladdningssårbarheter, vilket möjliggjorde att en osäker fil (falsk 'vcruntime140.dll') släpptes i OneDrive-katalogen.

WhiskerSpy har en omfattande lista över hotfulla funktioner

WhiskerSpy är den sista nyttolasten som används som en del av Earth Kitsune-attackkampanjen. Bakdörren förser fjärroperatörer med olika möjligheter, såsom ett interaktivt skal, möjligheten att ladda ner, ladda upp och ta bort filer, lista filer, ta skärmdumpar, ladda körbara filer och injicera skalkod i en process.

För att upprätthålla kommunikationen med kommando- och kontrollservern (C2, C&C) använder WhiskerSpy en 16-byte AES-nyckel för kryptering. Bakdörren ansluter med jämna mellanrum till C2-servern för att få uppdateringar om dess status, och servern kan svara med instruktioner för skadlig programvara, som att utföra skalkommandon, injicera kod i en annan process, exfiltrera specifika filer eller ta skärmdumpar.

Forskare har upptäckt en tidigare version av WhiskerSpy som använde FTP-protokollet istället för HTTP för C2-kommunikation. Denna äldre variant kontrollerade också förekomsten av en debugger vid exekvering och informerade C2 om lämplig statuskod. Dessa fynd belyser den ständiga utvecklingen av skadlig programvara när angripare anpassar och förfinar sina verktyg och tekniker för att undvika upptäckt och öka deras effektivitet. Det betonar behovet av robusta och uppdaterade säkerhetsåtgärder för att skydda mot sådana hot.