WhiskerSpy Backdoor

Kyberturvallisuustutkijat ovat löytäneet uuden takaoven, joka tunnetaan nimellä WhiskerSpy, jonka on ottanut käyttöön suhteellisen uusi, mutta edistynyt uhkatoimijaryhmä nimeltä Earth Kitsune. Tämä ryhmä on tullut tunnetuksi henkilöiden kohdentamisesta, jotka ovat osoittaneet kiinnostusta Pohjois-Koreaa kohtaan.

Earth Kitsune -ryhmä on käyttänyt hyökkäystään toteuttaessaan menetelmää, joka tunnetaan nimellä watering hole -hyökkäys, joka on todistettu ja tehokas taktiikka päästäkseen käsiksi kohteen järjestelmään. Tässä hyökkäyksessä uhkatekijät tunnistavat verkkosivuston, jolla heidän kohdeyleisönsä vierailee usein, ja tartuttavat sen haittaohjelmilla, joiden avulla he voivat päästä vierailijoiden laitteisiin heidän vieraillessaan sivustolla. Tässä nimenomaisessa tapauksessa vaarantunut verkkosivusto on Pohjois-Koreaa kannattava verkkosivusto, jolla maasta kiinnostuneet henkilöt vierailevat usein.

Turvallisuustutkijat ovat seuranneet Earth Kitsunen toimintaa vuodesta 2019 lähtien ja löysivät tämän viimeisimmän kampanjan viime vuoden lopulla. Tämä löytö on merkittävä, sillä se korostaa sitä tosiasiaa, että jopa suhteellisen uudet uhkatoimijat ovat yhä kehittyneempiä ja muodostavat merkittävän uhan yksilöille ja organisaatioille.

WhiskerSpy-infektio käyttää Watering Hole Attack -taktiikkaa

WhiskerSpy-takaovi toimitetaan vierailijoille, jotka yrittävät katsoa videoita vaarantuneella verkkosivustolla. Hyökkääjä on lisännyt verkkosivustolle vioittuneen skriptin, joka kehottaa vierailijoita asentamaan videokoodekin, joka oletettavasti vaaditaan näytettävän videosisällön suorittamiseen. Välttääkseen havaitsemisen hyökkääjä muokkasi laillista koodekin asennusohjelmaa niin, että se lopulta lataa ennen näkemättömän takaoven uhrin järjestelmään.

Tutkijoiden mukaan uhkatoimijat kohdistuivat vain sivuston vierailijoihin, joilla oli IP-osoitteita Shenyangista, Kiinasta, Nagoyasta, Japanista ja Brasiliasta. Epäillään, että Brasiliaa käytettiin vesiaukkohyökkäyksen testaamiseen VPN-yhteyden avulla, ja todellisina kohteina olivat vierailijat kahdesta kaupungista Kiinasta ja Japanista. Asiaankuuluvat uhrit saivat väärennetyn virheilmoituksen, joka kehotti heitä asentamaan koodekin videon katsomista varten. Pakkauksenhallinta oli kuitenkin todellisuudessa MSI-suoritettava tiedosto, joka asensi shell-koodin uhrin tietokoneeseen ja laukaisi sarjan PowerShell-komentoja, jotka lopulta ottavat käyttöön WhiskerSpy-takaoven.

Tässä kampanjassa Earth Kitsune käytti useita pysyvyystekniikoita pysyäkseen huomaamatta. Yksi tällainen tapa on Google Chromen natiiviviestintäpalvelimen väärinkäyttö, joka oli asentanut Google Chrome -laajennuksen nimeltä Google Chrome Helper. Laajennus salli hyötykuorman suorittamisen aina, kun selain käynnistyi. Toinen käytetty tekniikka hyödyntää OneDriven sivulataushaavoittuvuuksia, jotka mahdollistivat vaarallisen tiedoston (väärennös 'vcruntime140.dll') pudotuksen OneDrive-hakemistoon.

WhiskerSpyllä on laaja luettelo uhkaavista toiminnoista

WhiskerSpy on viimeinen hyötykuorma, joka on otettu käyttöön osana Earth Kitsune -hyökkäyskampanjaa. Takaovi tarjoaa etäoperaattoreille erilaisia ominaisuuksia, kuten interaktiivisen kuoren, mahdollisuuden ladata, ladata ja poistaa tiedostoja, luetteloida tiedostoja, ottaa kuvakaappauksia, ladata suoritettavia tiedostoja ja lisätä shell-koodia prosessiin.

Yhteyden ylläpitämiseksi komento- ja ohjauspalvelimen (C2, C&C) kanssa WhiskerSpy käyttää 16-tavuista AES-avainta salaukseen. Takaovi muodostaa ajoittain yhteyden C2-palvelimeen vastaanottaakseen päivityksiä sen tilasta, ja palvelin voi vastata ohjeilla haittaohjelmalle, kuten suorittaa komentotulkkikomentoja, syöttää koodia toiseen prosessiin, tutkia tiettyjä tiedostoja tai ottaa kuvakaappauksia.

Tutkijat ovat löytäneet WhiskerSpyn aikaisemman version, joka käytti FTP-protokollaa HTTP:n sijaan C2-viestintään. Tämä vanhempi versio tarkisti myös virheenkorjaimen olemassaolon suorituksen yhteydessä ja ilmoitti C2:lle asianmukaisen tilakoodin. Nämä havainnot korostavat haittaohjelmien jatkuvaa kehitystä, kun hyökkääjät mukauttavat ja parantavat työkalujaan ja tekniikoitaan välttääkseen havaitsemisen ja lisätäkseen niiden tehokkuutta. Se korostaa vahvojen ja ajantasaisten turvatoimien tarvetta suojautua tällaisilta uhilta.