WhiskerSpy Backdoor

Дослідники з кібербезпеки виявили новий бекдор, відомий як WhiskerSpy, який був розгорнутий відносно новою, але передовою групою загроз під назвою Earth Kitsune. Ця група стала відомою тим, що нападає на осіб, які виявили інтерес до Північної Кореї.

Щоб здійснити свою атаку, група Earth Kitsune використала метод, відомий як атака водопою, яка є перевіреною та ефективною тактикою для отримання доступу до системи цілі. Під час цієї атаки зловмисники ідентифікують веб-сайт, який часто відвідує цільова аудиторія, і заражають його шкідливим програмним забезпеченням, яке дозволяє їм отримати доступ до пристроїв відвідувачів, коли вони відвідують сайт. У цьому конкретному випадку веб-сайт, який було зламано, є про-Північною Кореєю, який часто відвідують особи, які цікавляться цією країною.

Дослідники безпеки спостерігали за діяльністю Earth Kitsune з 2019 року та виявили цю останню кампанію наприкінці минулого року. Це відкриття є важливим, оскільки воно підкреслює той факт, що навіть відносно нові суб’єкти загрози стають все більш просунутими та становлять значну загрозу як для окремих осіб, так і для організацій.

Інфекція WhiskerSpy використовує тактику атаки водопою

Бекдор WhiskerSpy доступний відвідувачам, які намагаються переглянути відео на скомпрометованому веб-сайті. Зловмисник вставив на веб-сайт пошкоджений сценарій, який пропонує відвідувачам встановити відеокодек, який нібито потрібен для запуску відображеного відеовмісту. Щоб уникнути виявлення, зловмисник змінив законний інсталятор кодека таким чином, щоб він зрештою завантажив раніше невидимий бекдор у систему жертви.

За словами дослідників, зловмисники націлювалися лише на відвідувачів веб-сайту, які мали IP-адреси з Шеньяну, Китай, Нагої, Японії та Бразилії. Підозрюється, що Бразилія використовувалася для тестування атаки на водопой за допомогою VPN-з’єднання, а справжніми цілями були відвідувачі з двох міст Китаю та Японії. Відповідні жертви отримають фальшиве повідомлення про помилку, яке спонукатиме їх встановити кодек для перегляду відео. Однак насправді кодек був виконуваним файлом MSI, який встановлював шелл-код на комп’ютері жертви, запускаючи серію команд PowerShell, які в кінцевому підсумку розгортали бекдор WhiskerSpy.

У цій кампанії Earth Kitsune використовував кілька методів наполегливості, щоб залишитися непоміченим. Одним із таких методів є зловживання власним хостом обміну повідомленнями в Google Chrome, який встановив скомпрометоване розширення Google Chrome під назвою Google Chrome Helper. Розширення дозволяло виконувати корисне навантаження кожного разу, коли браузер запускався. Інша застосована техніка використовує вразливості OneDrive при боковому завантаженні, що уможливило видалення небезпечного файлу (підроблений 'vcruntime140.dll') у каталозі OneDrive.

WhiskerSpy має широкий список загрозливих функцій

WhiskerSpy є останнім корисним навантаженням, розгорнутим у рамках кампанії атаки на Earth Kitsune. Бекдор надає віддаленим операторам різні можливості, такі як інтерактивна оболонка, можливість завантажувати, завантажувати та видаляти файли, створювати списки файлів, робити знімки екрана, завантажувати виконувані файли та вводити шелл-код у процес.

Щоб підтримувати зв’язок із сервером керування (C2, C&C), WhiskerSpy використовує 16-байтовий ключ AES для шифрування. Бекдор періодично підключається до сервера C2, щоб отримувати оновлення про свій статус, і сервер може відповідати інструкціями для зловмисного програмного забезпечення, наприклад, виконувати команди оболонки, вводити код в інший процес, вилучати певні файли або робити знімки екрана.

Дослідники виявили попередню версію WhiskerSpy, яка використовувала протокол FTP замість HTTP для зв’язку C2. Цей старіший варіант також перевіряв наявність відладчика під час виконання та повідомляв C2 про відповідний код стану. Ці висновки підкреслюють постійну еволюцію зловмисного програмного забезпечення, оскільки зловмисники адаптують і вдосконалюють свої інструменти та методи, щоб уникнути виявлення та підвищити їхню ефективність. Він наголошує на необхідності надійних і сучасних заходів безпеки для захисту від таких загроз.