WhiskerSpy Backdoor
Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong backdoor na kilala bilang WhiskerSpy, na na-deploy ng isang medyo bago ngunit advanced na grupo ng aktor ng pagbabanta na pinangalanang Earth Kitsune. Ang grupong ito ay naging kilala sa pag-target sa mga indibidwal na nagpakita ng interes sa North Korea.
Upang maisagawa ang kanilang pag-atake, ang Earth Kitsune group ay gumamit ng isang paraan na kilala bilang isang watering hole attack, na isang napatunayan at epektibong taktika para makakuha ng access sa sistema ng isang target. Sa pag-atakeng ito, tinutukoy ng mga banta ng aktor ang isang website na madalas na binibisita ng kanilang target na madla at nahawaan ito ng malware na nagbibigay-daan sa kanila na makakuha ng access sa mga device ng mga bisita kapag binisita nila ang site. Sa partikular na kaso na ito, ang website na nakompromiso ay isang pro-North Korea website, na madalas na binibisita ng mga indibidwal na interesado sa bansa.
Sinusubaybayan ng mga mananaliksik sa seguridad ang mga aktibidad ng Earth Kitsune mula noong 2019 at natuklasan ang pinakabagong kampanyang ito sa pagtatapos ng nakaraang taon. Ang pagtuklas na ito ay makabuluhan, dahil binibigyang-diin nito ang katotohanan na kahit na ang mga medyo bagong banta ay nagiging mas advanced at nagdudulot ng malaking banta sa mga indibidwal at organisasyon.
Gumagamit ang WhiskerSpy Infection ng Watering Hole Attack Tactic
Ang WhiskerSpy backdoor ay inihahatid sa mga bisitang sumusubok na manood ng mga video sa isang nakompromisong website. Ang umaatake ay nag-inject ng isang sirang script sa website, na nag-uudyok sa mga bisita na mag-install ng isang video codec na diumano ay kinakailangan upang patakbuhin ang ipinapakitang nilalaman ng video. Upang maiwasan ang pagtuklas, binago ng umaatake ang isang lehitimong codec installer upang sa huli ay mag-load ito ng dati nang hindi nakikitang backdoor sa system ng biktima.
Ayon sa mga mananaliksik, ang mga banta ng aktor ay naka-target lamang sa mga bisita sa website na may mga IP address mula sa Shenyang, China, Nagoya, Japan at Brazil. Pinaghihinalaang ginamit ang Brazil para sa pagsubok sa pag-atake ng watering hole gamit ang isang koneksyon sa VPN, at ang tunay na target ay mga bisita mula sa dalawang lungsod sa China at Japan. Ang mga nauugnay na biktima ay makakatanggap ng pekeng mensahe ng error na nag-udyok sa kanila na mag-install ng codec para panoorin ang video. Gayunpaman, ang codec ay, sa katotohanan, isang MSI executable na nag-install ng shellcode sa computer ng biktima, na nag-trigger ng isang serye ng mga PowerShell command na sa huli ay nag-deploy ng WhiskerSpy backdoor.
Sa campaign na ito, gumamit ang Earth Kitsune ng ilang diskarte sa pagtitiyaga upang manatiling hindi natukoy. Ang isang ganoong paraan ay ang pang-aabuso sa katutubong messaging host sa Google Chrome, na nag-install ng nakompromisong extension ng Google Chrome na tinatawag na Google Chrome Helper. Pinapayagan ang extension para sa pagpapatupad ng payload sa tuwing magsisimula ang browser. Ang isa pang ginamit na diskarte ay gumagamit ng mga kahinaan sa side-loading ng OneDrive, na nagpagana sa pag-drop ng isang hindi ligtas na file (pekeng 'vcruntime140.dll') sa direktoryo ng OneDrive.
Ang WhiskerSpy ay May Malawak na Listahan ng Mga Nagbabantang Paggana
Ang WhiskerSpy ay ang huling payload na na-deploy bilang bahagi ng kampanya ng pag-atake sa Earth Kitsune. Ang backdoor ay nagbibigay sa mga remote operator na may iba't ibang mga kakayahan, tulad ng isang interactive na shell, ang kakayahang mag-download, mag-upload at magtanggal ng mga file, maglista ng mga file, kumuha ng mga screenshot, mag-load ng mga executable at mag-inject ng shellcode sa isang proseso.
Upang mapanatili ang komunikasyon sa command at control (C2, C&C) server, gumagamit ang WhiskerSpy ng 16-byte na AES key para sa pag-encrypt. Pana-panahong kumokonekta ang backdoor sa C2 server upang makatanggap ng mga update tungkol sa status nito, at maaaring tumugon ang server nang may mga tagubilin para sa malware, tulad ng pagsasagawa ng mga shell command, pag-inject ng code sa isa pang proseso, pag-exfiltrate ng mga partikular na file o pagkuha ng mga screenshot.
Natuklasan ng mga mananaliksik ang isang naunang bersyon ng WhiskerSpy na gumamit ng FTP protocol sa halip na HTTP para sa C2 na komunikasyon. Sinuri din ng mas lumang variant na ito ang pagkakaroon ng debugger sa panahon ng pagpapatupad at ipinaalam sa C2 ang naaangkop na code ng katayuan. Itinatampok ng mga natuklasang ito ang patuloy na ebolusyon ng malware habang inaangkop at pinipino ng mga umaatake ang kanilang mga tool at diskarte upang maiwasan ang pagtuklas at pataasin ang kanilang pagiging epektibo. Binibigyang-diin nito ang pangangailangan para sa matatag at napapanahon na mga hakbang sa seguridad upang maprotektahan laban sa gayong mga banta.
