WhiskerSpy 后门程序

网络安全研究人员发现了一个名为 WhiskerSpy 的新后门，该后门已被一个名为 Earth Kitsune 的相对较新但先进的威胁组织所部署。该组织以针对对朝鲜表现出兴趣的个人而闻名。

为了执行他们的攻击，Earth Kitsune 组织使用了一种称为水坑攻击的方法，这是一种经过验证的有效策略，可以访问目标系统。在这次攻击中，威胁行为者识别目标受众经常访问的网站，并用恶意软件感染该网站，使他们能够在访问者访问该站点时访问访问者的设备。在这个具体案例中，被入侵的网站是一个亲朝鲜的网站，对朝鲜感兴趣的人经常访问该网站。

自 2019 年以来，安全研究人员一直在监控 Earth Kitsune 的活动，并在去年年底发现了这一最新活动。这一发现意义重大，因为它凸显了这样一个事实，即即使是相对较新的威胁行为者也变得越来越先进，并对个人和组织等构成重大威胁。

WhiskerSpy 感染使用水坑攻击策略

WhiskerSpy 后门会提供给试图在受感染网站上观看视频的访问者。攻击者已将损坏的脚本注入网站，提示访问者安装视频编解码器，据推测这是运行显示的视频内容所必需的。为了避免被发现，攻击者修改了一个合法的编解码器安装程序，以便它最终在受害者的系统上加载一个以前看不见的后门。

据研究人员称，威胁行为者仅针对具有来自沉阳、中国、日本名古屋和巴西的 IP 地址的网站访问者。疑似巴西被利用VPN连接测试水坑攻击，真正的目标是来自中国和日本两个城市的访客。相关受害者会收到一条虚假的错误信息，提示他们安装编解码器来观看视频。然而，编解码器实际上是一个 MSI 可执行文件，它在受害者的计算机上安装了一个 shellcode，触发了一系列 PowerShell 命令，最终部署了 WhiskerSpy 后门。

在此活动中，Earth Kitsune 使用了几种持久性技术来保持不被发现。其中一种方法是滥用 Google Chrome 中的本地消息传递主机，它安装了一个名为 Google Chrome Helper 的受损 Google Chrome 扩展程序。该扩展允许在每次浏览器启动时执行有效负载。另一种利用的技术利用 OneDrive 侧载漏洞，该漏洞允许在 OneDrive 目录中删除不安全文件（伪造的“vcruntime140.dll”）。

WhiskerSpy 具有广泛的威胁功能列表

WhiskerSpy 是作为 Earth Kitsune 攻击活动的一部分部署的最终有效载荷。后门为远程操作员提供各种功能，例如交互式 shell、下载、上传和删除文件、列出文件、截取屏幕截图、加载可执行文件以及将 shellcode 注入进程的能力。

为了保持与命令和控制（C2、C&C）服务器的通信，WhiskerSpy 使用 16 字节的 AES 密钥进行加密。后门会定期连接到 C2 服务器以接收有关其状态的更新，服务器可能会响应恶意软件的指令，例如执行 shell 命令、将代码注入另一个进程、泄露特定文件或截取屏幕截图。

研究人员发现了早期版本的 WhiskerSpy，它使用 FTP 协议而不是 HTTP 进行 C2 通信。这个较旧的变体还在执行时检查调试器的存在，并通知 C2 适当的状态代码。这些发现突显了随着攻击者调整和改进他们的工具和技术以逃避检测并提高其有效性，恶意软件在不断发展。它强调需要强大和最新的安全措施来抵御此类威胁。