WhiskerSpy Backdoor

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một cửa hậu mới có tên là WhiskerSpy, được triển khai bởi một nhóm tác nhân đe dọa tương đối mới nhưng tiên tiến có tên Earth Kitsune. Nhóm này đã trở nên nổi tiếng với việc nhắm mục tiêu vào các cá nhân đã thể hiện sự quan tâm đến Bắc Triều Tiên.

Để thực hiện cuộc tấn công của mình, nhóm Earth Kitsune đã sử dụng một phương pháp được gọi là tấn công lỗ tưới nước, đây là một chiến thuật đã được chứng minh và hiệu quả để giành quyền truy cập vào hệ thống của mục tiêu. Trong cuộc tấn công này, các tác nhân đe dọa xác định một trang web thường xuyên được đối tượng mục tiêu của chúng truy cập và lây nhiễm phần mềm độc hại cho trang đó cho phép chúng có quyền truy cập vào thiết bị của khách truy cập khi họ truy cập trang web. Trong trường hợp cụ thể này, trang web bị xâm nhập là một trang web ủng hộ Triều Tiên, thường xuyên được các cá nhân quan tâm đến quốc gia này truy cập.

Các nhà nghiên cứu bảo mật đã theo dõi các hoạt động của Earth Kitsune từ năm 2019 và phát hiện ra chiến dịch mới nhất này vào cuối năm trước. Phát hiện này rất có ý nghĩa, vì nó làm nổi bật thực tế là ngay cả những tác nhân đe dọa tương đối mới cũng đang ngày càng trở nên tiên tiến và gây ra mối đe dọa đáng kể cho các cá nhân cũng như tổ chức.

Nhiễm trùng WhiskerSpy sử dụng chiến thuật tấn công Watering Hole

Cửa hậu WhiskerSpy được gửi đến những khách truy cập cố gắng xem video trên một trang web bị xâm nhập. Kẻ tấn công đã đưa một tập lệnh bị hỏng vào trang web, tập lệnh này sẽ nhắc khách truy cập cài đặt codec video được cho là cần thiết để chạy nội dung video được hiển thị. Để tránh bị phát hiện, kẻ tấn công đã sửa đổi trình cài đặt codec hợp pháp để cuối cùng nó tải một cửa hậu chưa từng thấy trước đó trên hệ thống của nạn nhân.

Theo các nhà nghiên cứu, các tác nhân đe dọa chỉ nhắm mục tiêu những khách truy cập vào trang web có địa chỉ IP từ Thẩm Dương, Trung Quốc, Nagoya, Nhật Bản và Brazil. Người ta nghi ngờ rằng Brazil đã được sử dụng để thử nghiệm cuộc tấn công lỗ tưới nước bằng kết nối VPN và mục tiêu thực sự là du khách đến từ hai thành phố ở Trung Quốc và Nhật Bản. Các nạn nhân có liên quan sẽ nhận được thông báo lỗi giả nhắc họ cài đặt codec để xem video. Tuy nhiên, trên thực tế, codec là một tệp thực thi MSI đã cài đặt shellcode trên máy tính của nạn nhân, kích hoạt một loạt lệnh PowerShell để cuối cùng triển khai cửa hậu WhiskerSpy.

Trong chiến dịch này, Earth Kitsune đã sử dụng một số kỹ thuật kiên trì để không bị phát hiện. Một phương pháp như vậy là lạm dụng máy chủ nhắn tin gốc trong Google Chrome, máy chủ này đã cài đặt tiện ích mở rộng Google Chrome bị xâm nhập có tên là Google Chrome Helper. Tiện ích mở rộng cho phép thực thi tải trọng mỗi khi trình duyệt khởi động. Một kỹ thuật được sử dụng khác tận dụng các lỗ hổng tải bên của OneDrive, cho phép loại bỏ một tệp không an toàn (giả mạo 'vcruntime140.dll') trong thư mục OneDrive.

WhiskerSpy có một danh sách mở rộng các chức năng đe dọa

WhiskerSpy là payload cuối cùng được triển khai như một phần của chiến dịch tấn công Earth Kitsune. Cửa hậu cung cấp cho người điều khiển từ xa nhiều khả năng khác nhau, chẳng hạn như shell tương tác, khả năng tải xuống, tải lên và xóa tệp, liệt kê tệp, chụp ảnh màn hình, tải tệp thực thi và đưa shellcode vào quy trình.

Để duy trì liên lạc với máy chủ chỉ huy và kiểm soát (C2, C&C), WhiskerSpy sử dụng khóa AES 16 byte để mã hóa. Cửa hậu kết nối định kỳ với máy chủ C2 để nhận các bản cập nhật về trạng thái của nó và máy chủ có thể phản hồi bằng các hướng dẫn dành cho phần mềm độc hại, chẳng hạn như thực thi các lệnh trình bao, đưa mã vào một quy trình khác, trích xuất các tệp cụ thể hoặc chụp ảnh màn hình.

Các nhà nghiên cứu đã phát hiện ra một phiên bản cũ hơn của WhiskerSpy sử dụng giao thức FTP thay vì HTTP cho giao tiếp C2. Biến thể cũ hơn này cũng đã kiểm tra sự hiện diện của trình gỡ lỗi khi thực thi và thông báo cho C2 về mã trạng thái thích hợp. Những phát hiện này nêu bật sự phát triển không ngừng của phần mềm độc hại khi những kẻ tấn công điều chỉnh và tinh chỉnh các công cụ và kỹ thuật của chúng để tránh bị phát hiện và tăng hiệu quả của chúng. Nó nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ và cập nhật để bảo vệ chống lại các mối đe dọa như vậy.