ประตูหลัง WhiskerSpy

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแบ็คดอร์ใหม่ที่รู้จักกันในชื่อ WhiskerSpy ซึ่งถูกใช้งานโดยกลุ่มผู้คุกคามที่ค่อนข้างใหม่แต่ล้ำสมัยที่ชื่อว่า Earth Kitsune กลุ่มนี้กลายเป็นที่รู้จักกันดีในการกำหนดเป้าหมายบุคคลที่แสดงความสนใจในเกาหลีเหนือ

ในการดำเนินการโจมตี กลุ่ม Earth Kitsune ได้ใช้วิธีการที่เรียกว่าการโจมตีแบบ Watering Hole ซึ่งเป็นกลยุทธ์ที่ได้รับการพิสูจน์แล้วและมีประสิทธิภาพในการเข้าถึงระบบของเป้าหมาย ในการโจมตีนี้ ผู้คุกคามจะระบุเว็บไซต์ที่ผู้ชมเป้าหมายเข้าเยี่ยมชมบ่อยครั้งและติดมัลแวร์ที่ทำให้พวกเขาสามารถเข้าถึงอุปกรณ์ของผู้เยี่ยมชมเมื่อพวกเขาเยี่ยมชมไซต์ ในกรณีเฉพาะนี้ เว็บไซต์ที่ถูกบุกรุกนั้นเป็นเว็บไซต์ที่ฝักใฝ่เกาหลีเหนือ ซึ่งบุคคลที่สนใจในประเทศนี้เข้าชมบ่อยครั้ง

นักวิจัยด้านความปลอดภัยติดตามกิจกรรมของ Earth Kitsune มาตั้งแต่ปี 2019 และค้นพบแคมเปญล่าสุดนี้ในช่วงปลายปีที่แล้ว การค้นพบนี้มีความสำคัญ เนื่องจากเป็นการเน้นให้เห็นถึงข้อเท็จจริงที่ว่าแม้แต่ตัวแสดงภัยคุกคามที่ค่อนข้างใหม่ก็มีความก้าวหน้ามากขึ้นเรื่อย ๆ และเป็นภัยคุกคามที่สำคัญต่อบุคคลและองค์กร

การติดเชื้อ WhiskerSpy ใช้กลยุทธ์การโจมตี Watering Hole

ประตูหลัง WhiskerSpy จะถูกส่งไปยังผู้เยี่ยมชมที่พยายามดูวิดีโอบนเว็บไซต์ที่ถูกบุกรุก ผู้โจมตีได้ใส่สคริปต์ที่เสียหายลงในเว็บไซต์ ซึ่งแจ้งให้ผู้เยี่ยมชมติดตั้งตัวแปลงสัญญาณวิดีโอที่จำเป็นสำหรับการเรียกใช้เนื้อหาวิดีโอที่แสดง เพื่อหลีกเลี่ยงการตรวจจับ ผู้โจมตีได้แก้ไขตัวติดตั้งตัวแปลงสัญญาณที่ถูกต้องเพื่อให้โหลดแบ็คดอร์ที่มองไม่เห็นก่อนหน้านี้ในระบบของเหยื่อในที่สุด

จากข้อมูลของนักวิจัย ผู้คุกคามกำหนดเป้าหมายเฉพาะผู้เยี่ยมชมเว็บไซต์ที่มีที่อยู่ IP จากเสิ่นหยาง จีน นาโกย่า ญี่ปุ่น และบราซิล เป็นที่สงสัยว่าบราซิลใช้สำหรับทดสอบการโจมตี watering hole โดยใช้การเชื่อมต่อ VPN และเป้าหมายที่แท้จริงคือผู้เยี่ยมชมจากสองเมืองในจีนและญี่ปุ่น เหยื่อที่เกี่ยวข้องจะได้รับข้อความแสดงข้อผิดพลาดปลอมที่แจ้งให้ติดตั้งตัวแปลงสัญญาณเพื่อดูวิดีโอ อย่างไรก็ตาม ตัวแปลงสัญญาณในความเป็นจริงคือโปรแกรมสั่งการของ MSI ที่ติดตั้งเชลล์โค้ดบนคอมพิวเตอร์ของเหยื่อ ทริกเกอร์ชุดคำสั่ง PowerShell ซึ่งปรับใช้แบ็คดอร์ WhiskerSpy ในท้ายที่สุด

ในแคมเปญนี้ Earth Kitsune ใช้เทคนิคการคงอยู่หลายวิธีเพื่อไม่ให้ถูกตรวจจับ วิธีหนึ่งคือการละเมิดโฮสต์การส่งข้อความดั้งเดิมใน Google Chrome ซึ่งได้ติดตั้งส่วนขยายของ Google Chrome ที่เรียกว่า Google Chrome Helper ส่วนขยายอนุญาตให้ดำเนินการเพย์โหลดทุกครั้งที่เบราว์เซอร์เริ่มทำงาน อีกเทคนิคหนึ่งที่ใช้ใช้ประโยชน์จากช่องโหว่การโหลดด้านข้างของ OneDrive ซึ่งทำให้สามารถทิ้งไฟล์ที่ไม่ปลอดภัย ('vcruntime140.dll' ปลอม) ในไดเร็กทอรี OneDrive ได้

WhiskerSpy มีรายการฟังก์ชันที่คุกคามมากมาย

WhiskerSpy เป็นเพย์โหลดสุดท้ายที่นำไปใช้เป็นส่วนหนึ่งของแคมเปญการโจมตี Earth Kitsune แบ็คดอร์ช่วยให้ผู้ปฏิบัติงานระยะไกลมีความสามารถที่หลากหลาย เช่น เชลล์แบบโต้ตอบ ความสามารถในการดาวน์โหลด อัปโหลด และลบไฟล์ แสดงรายการไฟล์ ถ่ายภาพหน้าจอ โหลดไฟล์เรียกทำงาน และใส่เชลล์โค้ดเข้าไปในกระบวนการ

เพื่อรักษาการสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2, C&C) WhiskerSpy ใช้คีย์ AES 16 ไบต์สำหรับการเข้ารหัส แบ็คดอร์จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เป็นระยะเพื่อรับการอัปเดตเกี่ยวกับสถานะ และเซิร์ฟเวอร์อาจตอบสนองด้วยคำแนะนำสำหรับมัลแวร์ เช่น การดำเนินการคำสั่งเชลล์ การแทรกโค้ดลงในกระบวนการอื่น การกรองไฟล์เฉพาะ หรือการถ่ายภาพหน้าจอ

นักวิจัยได้ค้นพบ WhiskerSpy เวอร์ชันก่อนหน้าที่ใช้โปรโตคอล FTP แทน HTTP สำหรับการสื่อสารแบบ C2 ตัวแปรที่เก่ากว่านี้ยังตรวจสอบการมีอยู่ของดีบักเกอร์เมื่อดำเนินการ และแจ้งให้ C2 ทราบรหัสสถานะที่เหมาะสม การค้นพบนี้เน้นให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของมัลแวร์ ในขณะที่ผู้โจมตีปรับเปลี่ยนและปรับแต่งเครื่องมือและเทคนิคของตนเพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพ โดยเน้นย้ำถึงความจำเป็นของมาตรการรักษาความปลอดภัยที่แข็งแกร่งและทันสมัยเพื่อป้องกันภัยคุกคามดังกล่าว