WhiskerSpy బ్యాక్‌డోర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు WhiskerSpy అని పిలవబడే కొత్త బ్యాక్‌డోర్‌ను కనుగొన్నారు, ఇది ఎర్త్ కిట్సున్ అనే సాపేక్షంగా కొత్త కానీ అధునాతన ముప్పు నటుల సమూహం ద్వారా అమలు చేయబడింది. ఈ సమూహం ఉత్తర కొరియా పట్ల ఆసక్తిని ప్రదర్శించిన వ్యక్తులను లక్ష్యంగా చేసుకోవడంలో ప్రసిద్ధి చెందింది.

వారి దాడిని అమలు చేయడానికి, ఎర్త్ కిట్సున్ సమూహం నీటి రంధ్రం దాడి అని పిలువబడే ఒక పద్ధతిని ఉపయోగించింది, ఇది లక్ష్య వ్యవస్థకు ప్రాప్యతను పొందేందుకు నిరూపితమైన మరియు సమర్థవంతమైన వ్యూహం. ఈ దాడిలో, బెదిరింపు నటులు తమ లక్ష్య ప్రేక్షకులు తరచుగా సందర్శించే వెబ్‌సైట్‌ను గుర్తిస్తారు మరియు వారు సైట్‌ను సందర్శించినప్పుడు సందర్శకుల పరికరాలకు యాక్సెస్‌ను పొందేందుకు వీలు కల్పించే మాల్‌వేర్‌తో దానికి సంక్రమిస్తారు. ఈ నిర్దిష్ట సందర్భంలో, రాజీపడిన వెబ్‌సైట్ ఉత్తర కొరియా అనుకూల వెబ్‌సైట్, దీనిని దేశం పట్ల ఆసక్తి ఉన్న వ్యక్తులు తరచుగా సందర్శిస్తారు.

భద్రతా పరిశోధకులు 2019 నుండి ఎర్త్ కిట్సున్ కార్యకలాపాలను పర్యవేక్షిస్తున్నారు మరియు మునుపటి సంవత్సరం చివరిలో ఈ తాజా ప్రచారాన్ని కనుగొన్నారు. ఈ ఆవిష్కరణ ముఖ్యమైనది, ఎందుకంటే సాపేక్షంగా కొత్త బెదిరింపు నటులు కూడా అభివృద్ధి చెందుతున్నారనే వాస్తవాన్ని హైలైట్ చేస్తుంది మరియు వ్యక్తులు మరియు సంస్థలకు ఒకే విధంగా గణనీయమైన ముప్పును కలిగిస్తుంది.

ది విస్కర్‌స్పై ఇన్ఫెక్షన్ వాటర్ హోల్ అటాక్ టాక్టిక్‌ను ఉపయోగిస్తుంది

రాజీపడిన వెబ్‌సైట్‌లో వీడియోలను చూడటానికి ప్రయత్నించే సందర్శకులకు WhiskerSpy బ్యాక్‌డోర్ అందించబడుతుంది. దాడి చేసే వ్యక్తి వెబ్‌సైట్‌లోకి పాడైన స్క్రిప్ట్‌ను ఇంజెక్ట్ చేశాడు, ఇది ప్రదర్శించబడే వీడియో కంటెంట్‌ను అమలు చేయడానికి అవసరమైన వీడియో కోడెక్‌ను ఇన్‌స్టాల్ చేయమని సందర్శకులను ప్రేరేపిస్తుంది. గుర్తించడాన్ని నివారించడానికి, దాడి చేసే వ్యక్తి చట్టబద్ధమైన కోడెక్ ఇన్‌స్టాలర్‌ను సవరించాడు, తద్వారా ఇది బాధితుడి సిస్టమ్‌లో అంతకు ముందు చూడని బ్యాక్‌డోర్‌ను లోడ్ చేస్తుంది.

పరిశోధకుల ప్రకారం, బెదిరింపు నటులు షెన్యాంగ్, చైనా, నగోయా, జపాన్ మరియు బ్రెజిల్ నుండి IP చిరునామాలను కలిగి ఉన్న వెబ్‌సైట్ సందర్శకులను మాత్రమే లక్ష్యంగా చేసుకున్నారు. VPN కనెక్షన్‌ని ఉపయోగించి నీటి రంధ్రం దాడిని పరీక్షించడానికి బ్రెజిల్ ఉపయోగించబడిందని అనుమానించబడింది మరియు చైనా మరియు జపాన్‌లోని రెండు నగరాల నుండి వచ్చిన సందర్శకులు నిజమైన లక్ష్యాలు. సంబంధిత బాధితులు వీడియోను చూడటానికి కోడెక్‌ను ఇన్‌స్టాల్ చేయమని ప్రేరేపించిన నకిలీ ఎర్రర్ సందేశాన్ని అందుకుంటారు. అయితే, వాస్తవానికి, కోడెక్ అనేది బాధితుని కంప్యూటర్‌లో షెల్‌కోడ్‌ను ఇన్‌స్టాల్ చేసే MSI ఎక్జిక్యూటబుల్, ఇది పవర్‌షెల్ ఆదేశాల శ్రేణిని ప్రేరేపిస్తుంది, అది చివరికి WhiskerSpy బ్యాక్‌డోర్‌ను అమలు చేసింది.

ఈ ప్రచారంలో, ఎర్త్ కిట్సున్ గుర్తించబడకుండా ఉండటానికి అనేక పట్టుదల పద్ధతులను ఉపయోగించింది. Google Chrome హెల్పర్ అనే రాజీపడిన Google Chrome పొడిగింపును ఇన్‌స్టాల్ చేసిన Google Chromeలో స్థానిక సందేశ హోస్ట్‌ని దుర్వినియోగం చేయడం అటువంటి పద్ధతి. బ్రౌజర్ ప్రారంభించిన ప్రతిసారీ పేలోడ్‌ని అమలు చేయడానికి పొడిగింపు అనుమతించబడుతుంది. వన్‌డ్రైవ్ డైరెక్టరీలో అసురక్షిత ఫైల్‌ను (నకిలీ 'vcruntime140.dll') డ్రాప్ చేయడాన్ని ప్రారంభించిన మరో ఉపయోగించబడిన సాంకేతికత OneDrive సైడ్-లోడింగ్ దుర్బలత్వాలను ప్రభావితం చేస్తుంది.

WhiskerSpy బెదిరింపు కార్యాచరణల యొక్క విస్తారమైన జాబితాను కలిగి ఉంది

విస్కర్‌స్పై అనేది ఎర్త్ కిట్సున్ దాడి ప్రచారంలో భాగంగా మోహరించిన చివరి పేలోడ్. బ్యాక్‌డోర్ రిమోట్ ఆపరేటర్‌లకు ఇంటరాక్టివ్ షెల్, ఫైల్‌లను డౌన్‌లోడ్ చేయడం, అప్‌లోడ్ చేయడం మరియు తొలగించడం, ఫైల్‌లను జాబితా చేయడం, స్క్రీన్‌షాట్‌లు తీయడం, ఎక్జిక్యూటబుల్‌లను లోడ్ చేయడం మరియు షెల్‌కోడ్‌ను ప్రక్రియలోకి ఇంజెక్ట్ చేయడం వంటి వివిధ సామర్థ్యాలను అందిస్తుంది.

కమాండ్ అండ్ కంట్రోల్ (C2, C&C) సర్వర్‌తో కమ్యూనికేషన్‌ను నిర్వహించడానికి, WhiskerSpy ఎన్‌క్రిప్షన్ కోసం 16-బైట్ AES కీని ఉపయోగిస్తుంది. బ్యాక్‌డోర్ కాలానుగుణంగా C2 సర్వర్‌కు దాని స్థితి గురించి నవీకరణలను అందుకోవడానికి కనెక్ట్ చేస్తుంది మరియు షెల్ ఆదేశాలను అమలు చేయడం, మరొక ప్రక్రియలో కోడ్‌ను ఇంజెక్ట్ చేయడం, నిర్దిష్ట ఫైల్‌లను తీయడం లేదా స్క్రీన్‌షాట్‌లను తీయడం వంటి మాల్వేర్ సూచనలతో సర్వర్ ప్రతిస్పందించవచ్చు.

పరిశోధకులు C2 కమ్యూనికేషన్ కోసం HTTPకి బదులుగా FTP ప్రోటోకాల్‌ను ఉపయోగించిన WhiskerSpy యొక్క మునుపటి సంస్కరణను కనుగొన్నారు. ఈ పాత వేరియంట్ అమలు చేసిన తర్వాత డీబగ్గర్ ఉనికిని కూడా తనిఖీ చేసింది మరియు తగిన స్థితి కోడ్‌ని C2కి తెలియజేసింది. ఈ పరిశోధనలు మాల్వేర్ యొక్క స్థిరమైన పరిణామాన్ని హైలైట్ చేస్తాయి, ఎందుకంటే దాడి చేసేవారు గుర్తించకుండా తప్పించుకోవడానికి మరియు వాటి ప్రభావాన్ని పెంచడానికి వారి సాధనాలు మరియు సాంకేతికతలను స్వీకరించారు మరియు మెరుగుపరుస్తారు. అటువంటి బెదిరింపుల నుండి రక్షించడానికి పటిష్టమైన మరియు తాజా భద్రతా చర్యల అవసరాన్ని ఇది నొక్కి చెబుతుంది.