WhiskerSpy Backdoor

Kiberdrošības pētnieki ir atklājuši jaunas aizmugures durvis, kas pazīstamas ar nosaukumu WhiskerSpy, ko ir izvietojusi salīdzinoši jauna, bet progresīva draudu dalībnieku grupa ar nosaukumu Earth Kitsune. Šī grupa ir kļuvusi plaši pazīstama ar mērķauditorijas atlasi personām, kuras ir izrādījušas interesi par Ziemeļkoreju.

Lai izpildītu savu uzbrukumu, Earth Kitsune grupa ir izmantojusi metodi, kas pazīstama kā ūdeņu uzbrukums, kas ir pārbaudīta un efektīva taktika, lai piekļūtu mērķa sistēmai. Šajā uzbrukumā apdraudējuma dalībnieki identificē vietni, kuru bieži apmeklē viņu mērķauditorija, un inficē to ar ļaunprātīgu programmatūru, kas ļauj piekļūt apmeklētāju ierīcēm, kad viņi apmeklē vietni. Šajā konkrētajā gadījumā uzlauztā vietne ir Ziemeļkorejai labvēlīga vietne, kuru bieži apmeklē personas, kuras interesējas par šo valsti.

Drošības pētnieki ir novērojuši Earth Kitsune aktivitātes kopš 2019. gada un atklāja šo jaunāko kampaņu pagājušā gada beigās. Šis atklājums ir nozīmīgs, jo tas uzsver faktu, ka pat salīdzinoši jauni apdraudējuma dalībnieki kļūst arvien progresīvāki un rada ievērojamus draudus gan indivīdiem, gan organizācijām.

WhiskerSpy infekcija izmanto laistīšanas cauruma uzbrukuma taktiku

WhiskerSpy aizmugures durvis tiek piegādātas apmeklētājiem, kuri mēģina skatīties videoklipus uzlauztā vietnē. Uzbrucējs vietnē ir ievadījis bojātu skriptu, kas liek apmeklētājiem instalēt video kodeku, kas it kā ir nepieciešams, lai palaistu parādīto video saturu. Lai izvairītos no atklāšanas, uzbrucējs modificēja likumīgu kodeku instalētāju, lai tas galu galā ielādē upura sistēmā iepriekš neredzētu aizmugures durvis.

Pēc pētnieku domām, draudu dalībnieki bija vērsti tikai uz vietnes apmeklētājiem, kuriem bija IP adreses no Šenjanas, Ķīnas, Nagojas, Japānas un Brazīlijas. Pastāv aizdomas, ka Brazīlija tika izmantota ūdeņraža uzbrukuma testēšanai, izmantojot VPN savienojumu, un patiesie mērķi bija viesi no divām pilsētām Ķīnā un Japānā. Attiecīgie upuri saņems viltotu kļūdas ziņojumu, kas lika viņiem instalēt kodeku, lai skatītos videoklipu. Tomēr patiesībā kodeks bija MSI izpildāms fails, kas upura datorā instalēja čaulas kodu, aktivizējot virkni PowerShell komandu, kas galu galā izvietoja WhiskerSpy aizmugures durvis.

Šajā kampaņā Earth Kitsune izmantoja vairākas noturības metodes, lai paliktu nepamanītas. Viena no šādām metodēm ir Google Chrome vietējā ziņojumapmaiņas resursdatora ļaunprātīga izmantošana, kas instalēja uzlauztu Google Chrome paplašinājumu Google Chrome Helper. Paplašinājums ļāva izpildīt lietderīgo slodzi ikreiz, kad pārlūkprogramma startēja. Cits izmantotais paņēmiens izmanto OneDrive sānu ielādes ievainojamības, kas ļāva OneDrive direktorijā nomest nedrošu failu (viltus “vcruntime140.dll”).

WhiskerSpy piedāvā plašu apdraudošu funkciju sarakstu

WhiskerSpy ir pēdējā lietderīgā krava, kas izvietota Earth Kitsune uzbrukuma kampaņas ietvaros. Aizmugures durvis nodrošina attāliem operatoriem dažādas iespējas, piemēram, interaktīvu apvalku, iespēju lejupielādēt, augšupielādēt un dzēst failus, uzskaitīt failus, uzņemt ekrānuzņēmumus, ielādēt izpildāmos failus un ievadīt čaulas kodu procesā.

Lai uzturētu saziņu ar komandu un vadības (C2, C&C) serveri, WhiskerSpy šifrēšanai izmanto 16 baitu AES atslēgu. Aizmugures durvis periodiski izveido savienojumu ar C2 serveri, lai saņemtu atjauninājumus par tā statusu, un serveris var atbildēt ar norādījumiem par ļaunprātīgu programmatūru, piemēram, izpildīt čaulas komandas, ievadīt kodu citā procesā, izfiltrēt noteiktus failus vai uzņemt ekrānuzņēmumus.

Pētnieki ir atklājuši agrāku WhiskerSpy versiju, kurā C2 saziņai HTTP vietā tika izmantots FTP protokols. Šis vecākais variants izpildes laikā pārbaudīja arī atkļūdotāja klātbūtni un informēja C2 par atbilstošo statusa kodu. Šie atklājumi izceļ pastāvīgo ļaunprātīgas programmatūras attīstību, jo uzbrucēji pielāgo un uzlabo savus rīkus un paņēmienus, lai izvairītos no atklāšanas un palielinātu to efektivitāti. Tajā uzsvērta nepieciešamība pēc stingriem un atjauninātiem drošības pasākumiem, lai aizsargātu pret šādiem draudiem.