WhiskerSpy Backdoor

சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் விஸ்கர்ஸ்பை எனப்படும் புதிய பின்கதவைக் கண்டுபிடித்துள்ளனர், இது எர்த் கிட்சூன் என்ற ஒப்பீட்டளவில் புதிய ஆனால் மேம்பட்ட அச்சுறுத்தல் நடிகர் குழுவால் பயன்படுத்தப்பட்டது. இந்த குழு வட கொரியாவில் ஆர்வத்தை வெளிப்படுத்திய நபர்களை குறிவைப்பதில் நன்கு அறியப்பட்டதாகும்.

அவர்களின் தாக்குதலைச் செயல்படுத்த, எர்த் கிட்சுன் குழு நீர்ப்பாசனத் துளை தாக்குதல் எனப்படும் ஒரு முறையைப் பயன்படுத்தியது, இது இலக்கின் அமைப்புக்கான அணுகலைப் பெறுவதற்கான நிரூபிக்கப்பட்ட மற்றும் பயனுள்ள தந்திரமாகும். இந்த தாக்குதலில், அச்சுறுத்தல் நடிகர்கள் தங்கள் இலக்கு பார்வையாளர்களால் அடிக்கடி பார்வையிடப்படும் வலைத்தளத்தை அடையாளம் கண்டு, அவர்கள் தளத்தைப் பார்வையிடும்போது பார்வையாளர்களின் சாதனங்களை அணுகுவதற்கு உதவும் தீம்பொருளால் அதை பாதிக்கிறார்கள். இந்த குறிப்பிட்ட வழக்கில், சமரசம் செய்யப்பட்ட வலைத்தளம் வட கொரியா சார்பு வலைத்தளமாகும், இது நாட்டில் ஆர்வமுள்ள நபர்களால் அடிக்கடி பார்வையிடப்படுகிறது.

பாதுகாப்பு ஆராய்ச்சியாளர்கள் 2019 ஆம் ஆண்டு முதல் எர்த் கிட்சூனின் செயல்பாடுகளை கண்காணித்து வருகின்றனர் மற்றும் முந்தைய ஆண்டின் இறுதியில் இந்த சமீபத்திய பிரச்சாரத்தை கண்டுபிடித்தனர். இந்த கண்டுபிடிப்பு குறிப்பிடத்தக்கது, ஏனெனில் ஒப்பீட்டளவில் புதிய அச்சுறுத்தல் நடிகர்கள் கூட பெருகிய முறையில் முன்னேறி வருகின்றனர் மற்றும் தனிநபர்கள் மற்றும் நிறுவனங்களுக்கு ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலை ஏற்படுத்துகின்றனர் என்ற உண்மையை இது எடுத்துக்காட்டுகிறது.

விஸ்கர்ஸ்பை தொற்று நீர்ப்பாசன துளை தாக்குதல் தந்திரத்தைப் பயன்படுத்துகிறது

சமரசம் செய்யப்பட்ட இணையதளத்தில் வீடியோக்களைப் பார்க்க முயற்சிக்கும் பார்வையாளர்களுக்கு WhiskerSpy பின்கதவு வழங்கப்படுகிறது. தாக்குபவர் சிதைந்த ஸ்கிரிப்டை இணையதளத்தில் செலுத்தியுள்ளார், இது காட்டப்படும் வீடியோ உள்ளடக்கத்தை இயக்குவதற்குத் தேவைப்படும் வீடியோ கோடெக்கை நிறுவ பார்வையாளர்களைத் தூண்டுகிறது. கண்டறிதலைத் தவிர்க்க, தாக்குபவர் முறையான கோடெக் நிறுவியை மாற்றியமைத்தார், இதனால் அது பாதிக்கப்பட்டவரின் கணினியில் முன்பு காணப்படாத பின்கதவை ஏற்றுகிறது.

ஆராய்ச்சியாளர்களின் கூற்றுப்படி, அச்சுறுத்தல் நடிகர்கள் ஷென்யாங், சீனா, நகோயா, ஜப்பான் மற்றும் பிரேசில் ஆகிய நாடுகளில் இருந்து ஐபி முகவரிகளைக் கொண்ட வலைத்தளத்திற்கு பார்வையாளர்களை மட்டுமே குறிவைத்தனர். VPN இணைப்பைப் பயன்படுத்தி நீர்ப்பாசனத் தாக்குதலைச் சோதிக்க பிரேசில் பயன்படுத்தப்பட்டதாக சந்தேகிக்கப்படுகிறது, மேலும் உண்மையான இலக்குகள் சீனா மற்றும் ஜப்பானில் உள்ள இரண்டு நகரங்களிலிருந்து வந்த பார்வையாளர்கள். சம்பந்தப்பட்ட பாதிக்கப்பட்டவர்கள் ஒரு போலி பிழைச் செய்தியைப் பெறுவார்கள், அது வீடியோவைப் பார்க்க கோடெக்கை நிறுவும்படி தூண்டியது. இருப்பினும், உண்மையில், கோடெக் ஒரு MSI இயங்கக்கூடியது, இது பாதிக்கப்பட்டவரின் கணினியில் ஷெல்கோடை நிறுவி, பவர்ஷெல் கட்டளைகளின் வரிசையைத் தூண்டி, இறுதியில் விஸ்கர்ஸ்பை பின்கதவை பயன்படுத்தியது.

இந்த பிரச்சாரத்தில், எர்த் கிட்சுன் கண்டறியப்படாமல் இருக்க பல நிலைத்தன்மை நுட்பங்களைப் பயன்படுத்தினார். கூகுள் குரோம் ஹெல்பர் எனப்படும் சமரசம் செய்யப்பட்ட கூகுள் குரோம் நீட்டிப்பை நிறுவிய கூகுள் குரோமில் உள்ள நேட்டிவ் மெசேஜிங் ஹோஸ்ட்டின் துஷ்பிரயோகம் இது போன்ற ஒரு முறையாகும். உலாவி தொடங்கும் ஒவ்வொரு முறையும் பேலோடைச் செயல்படுத்த நீட்டிப்பு அனுமதிக்கப்படுகிறது. மற்றொரு பயன்படுத்தப்பட்ட நுட்பம் OneDrive பக்க-ஏற்றுதல் பாதிப்புகளை மேம்படுத்துகிறது, இது OneDrive கோப்பகத்தில் பாதுகாப்பற்ற கோப்பை (போலி 'vcruntime140.dll') கைவிட உதவுகிறது.

விஸ்கர்ஸ்பை அச்சுறுத்தும் செயல்பாடுகளின் விரிவான பட்டியலைக் கொண்டுள்ளது

விஸ்கர்ஸ்பை என்பது எர்த் கிட்சூன் தாக்குதல் பிரச்சாரத்தின் ஒரு பகுதியாக பயன்படுத்தப்படும் இறுதி பேலோட் ஆகும். பின்கதவு ரிமோட் ஆபரேட்டர்களுக்கு பல்வேறு திறன்களை வழங்குகிறது, அதாவது ஊடாடும் ஷெல், கோப்புகளை பதிவிறக்கம், பதிவேற்றம் மற்றும் நீக்குதல், கோப்புகளை பட்டியலிடுதல், ஸ்கிரீன்ஷாட்களை எடுப்பது, எக்ஸிகியூட்டபிள்களை ஏற்றுதல் மற்றும் ஷெல்கோடுகளை ஒரு செயல்முறையில் செலுத்துதல்.

கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகத்துடன் தொடர்பை பராமரிக்க, விஸ்கர்ஸ்பை 16-பைட் AES விசையை குறியாக்கத்திற்கு பயன்படுத்துகிறது. பின்கதவு அதன் நிலையைப் பற்றிய புதுப்பிப்புகளைப் பெற C2 சேவையகத்துடன் அவ்வப்போது இணைகிறது, மேலும் ஷெல் கட்டளைகளை இயக்குதல், குறியீட்டை மற்றொரு செயல்பாட்டில் செலுத்துதல், குறிப்பிட்ட கோப்புகளை வெளியேற்றுதல் அல்லது ஸ்கிரீன்ஷாட்களை எடுப்பது போன்ற தீம்பொருளுக்கான வழிமுறைகளுடன் சேவையகம் பதிலளிக்கலாம்.

C2 தொடர்புக்கு HTTPக்குப் பதிலாக FTP நெறிமுறையைப் பயன்படுத்திய WhiskerSpy இன் முந்தைய பதிப்பை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இந்த பழைய மாறுபாடு செயல்பாட்டின் போது பிழைத்திருத்தியின் இருப்பை சரிபார்த்து, பொருத்தமான நிலைக் குறியீட்டை C2 க்கு தெரிவித்தது. இந்த கண்டுபிடிப்புகள் தீம்பொருளின் நிலையான பரிணாமத்தை எடுத்துக்காட்டுகின்றன, ஏனெனில் தாக்குபவர்கள் கண்டறிதலைத் தவிர்ப்பதற்கும் அவற்றின் செயல்திறனை அதிகரிப்பதற்கும் அவர்களின் கருவிகள் மற்றும் நுட்பங்களை மாற்றியமைத்து செம்மைப்படுத்துகிறார்கள். இத்தகைய அச்சுறுத்தல்களுக்கு எதிராக பாதுகாக்க வலுவான மற்றும் புதுப்பித்த பாதுகாப்பு நடவடிக்கைகளின் அவசியத்தை இது வலியுறுத்துகிறது.