WhiskerSpy مستتر

اكتشف باحثو الأمن السيبراني بابًا خلفيًا جديدًا يُعرف باسم WhiskerSpy ، والذي تم نشره بواسطة مجموعة تهديدات جديدة نسبيًا ولكنها متقدمة تسمى Earth Kitsune. اشتهرت هذه المجموعة باستهداف الأفراد الذين أبدوا اهتمامًا بكوريا الشمالية.

لتنفيذ هجومهم ، استخدمت مجموعة Earth Kitsune طريقة تُعرف باسم هجوم ثقب الماء ، وهو تكتيك مُثبت وفعال للوصول إلى نظام الهدف. في هذا الهجوم ، يحدد ممثلو التهديد موقع الويب الذي يزوره جمهورهم المستهدف بشكل متكرر ويقومون بإلحاقه ببرامج ضارة تمكنهم من الوصول إلى أجهزة الزوار عند زيارتهم للموقع. في هذه الحالة المحددة ، الموقع الذي تم اختراقه هو موقع مؤيد لكوريا الشمالية ، والذي يزوره بشكل متكرر من قبل الأفراد المهتمين بالبلد.

يراقب باحثو الأمن أنشطة Earth Kitsune منذ عام 2019 واكتشفوا هذه الحملة الأخيرة في نهاية العام السابق. هذا الاكتشاف مهم ، لأنه يسلط الضوء على حقيقة أنه حتى الجهات الفاعلة الجديدة نسبيًا تتقدم بشكل متزايد وتشكل تهديدًا كبيرًا للأفراد والمنظمات على حد سواء.

تستخدم عدوى WhiskerSpy أسلوب هجوم ثقب الري

يتم تسليم الباب الخلفي لـ WhiskerSpy للزوار الذين يحاولون مشاهدة مقاطع الفيديو على موقع ويب مخترق. قام المهاجم بحقن برنامج نصي تالف في موقع الويب ، والذي يطالب الزائرين بتثبيت برنامج ترميز فيديو يُفترض أنه مطلوب لتشغيل محتوى الفيديو المعروض. لتجنب الاكتشاف ، قام المهاجم بتعديل مثبت برنامج ترميز شرعي بحيث يقوم في النهاية بتحميل باب خلفي غير مرئي سابقًا على نظام الضحية.

وفقًا للباحثين ، استهدفت الجهات الفاعلة في التهديد فقط زوار الموقع الذين لديهم عناوين IP من شنيانغ والصين وناغويا واليابان والبرازيل. يُشتبه في أن البرازيل استُخدمت لاختبار هجوم حفرة الماء باستخدام اتصال VPN ، وكانت الأهداف الحقيقية هي الزائرين من المدينتين في الصين واليابان. سيتلقى الضحايا المعنيون رسالة خطأ مزيفة تحثهم على تثبيت برنامج ترميز لمشاهدة الفيديو. ومع ذلك ، كان برنامج الترميز ، في الواقع ، ملف MSI قابل للتنفيذ قام بتثبيت كود قشرة على كمبيوتر الضحية ، مما أدى إلى تشغيل سلسلة من أوامر PowerShell التي نشرت في النهاية WhiskerSpy backdoor.

في هذه الحملة ، استخدم Earth Kitsune العديد من تقنيات المثابرة للبقاء غير مكتشفة. تتمثل إحدى هذه الطرق في إساءة استخدام مضيف المراسلة الأصلي في Google Chrome ، والذي قام بتثبيت امتداد Google Chrome تم اختراقه يسمى Google Chrome Helper. يسمح الامتداد بتنفيذ الحمولة في كل مرة يبدأ فيها المتصفح. تعمل تقنية أخرى مستخدمة على الاستفادة من ثغرات التحميل الجانبي في OneDrive ، والتي مكنت من إسقاط ملف غير آمن ("vcruntime140.dll" المزيف) في دليل OneDrive.

يحتوي WhiskerSpy على قائمة موسعة من الوظائف التي تشكل تهديدًا

WhiskerSpy هي الحمولة النهائية التي تم نشرها كجزء من حملة هجوم Earth Kitsune. يوفر الباب الخلفي للمشغلين عن بُعد إمكانات مختلفة ، مثل الغلاف التفاعلي ، والقدرة على تنزيل الملفات وتحميلها وحذفها ، وملفات القوائم ، والتقاط لقطات شاشة ، وتحميل الملفات التنفيذية ، وحقن كود القشرة في العملية.

للحفاظ على الاتصال بخادم القيادة والتحكم (C2 ، C&C) ، يستخدم WhiskerSpy مفتاح AES 16 بايت للتشفير. يتصل الباب الخلفي بشكل دوري بخادم C2 لتلقي تحديثات حول حالته ، وقد يستجيب الخادم بإرشادات خاصة بالبرامج الضارة ، مثل تنفيذ أوامر shell ، أو إدخال رمز في عملية أخرى ، أو إخراج ملفات معينة ، أو التقاط لقطات شاشة.

اكتشف الباحثون إصدارًا سابقًا من WhiskerSpy يستخدم بروتوكول FTP بدلاً من HTTP لاتصالات C2. هذا المتغير الأقدم تحقق أيضًا من وجود مصحح أخطاء عند التنفيذ وأبلغ C2 برمز الحالة المناسب. تسلط هذه النتائج الضوء على التطور المستمر للبرامج الضارة حيث يقوم المهاجمون بتكييف أدواتهم وتقنياتهم وتحسينها لتجنب الاكتشاف وزيادة فعاليتها. ويؤكد على الحاجة إلى تدابير أمنية قوية وحديثة للحماية من مثل هذه التهديدات.