WhiskerSpy బ్యాక్డోర్
సైబర్ సెక్యూరిటీ పరిశోధకులు WhiskerSpy అని పిలవబడే కొత్త బ్యాక్డోర్ను కనుగొన్నారు, ఇది ఎర్త్ కిట్సున్ అనే సాపేక్షంగా కొత్త కానీ అధునాతన ముప్పు నటుల సమూహం ద్వారా అమలు చేయబడింది. ఈ సమూహం ఉత్తర కొరియా పట్ల ఆసక్తిని ప్రదర్శించిన వ్యక్తులను లక్ష్యంగా చేసుకోవడంలో ప్రసిద్ధి చెందింది.
వారి దాడిని అమలు చేయడానికి, ఎర్త్ కిట్సున్ సమూహం నీటి రంధ్రం దాడి అని పిలువబడే ఒక పద్ధతిని ఉపయోగించింది, ఇది లక్ష్య వ్యవస్థకు ప్రాప్యతను పొందేందుకు నిరూపితమైన మరియు సమర్థవంతమైన వ్యూహం. ఈ దాడిలో, బెదిరింపు నటులు తమ లక్ష్య ప్రేక్షకులు తరచుగా సందర్శించే వెబ్సైట్ను గుర్తిస్తారు మరియు వారు సైట్ను సందర్శించినప్పుడు సందర్శకుల పరికరాలకు యాక్సెస్ను పొందేందుకు వీలు కల్పించే మాల్వేర్తో దానికి సంక్రమిస్తారు. ఈ నిర్దిష్ట సందర్భంలో, రాజీపడిన వెబ్సైట్ ఉత్తర కొరియా అనుకూల వెబ్సైట్, దీనిని దేశం పట్ల ఆసక్తి ఉన్న వ్యక్తులు తరచుగా సందర్శిస్తారు.
భద్రతా పరిశోధకులు 2019 నుండి ఎర్త్ కిట్సున్ కార్యకలాపాలను పర్యవేక్షిస్తున్నారు మరియు మునుపటి సంవత్సరం చివరిలో ఈ తాజా ప్రచారాన్ని కనుగొన్నారు. ఈ ఆవిష్కరణ ముఖ్యమైనది, ఎందుకంటే సాపేక్షంగా కొత్త బెదిరింపు నటులు కూడా అభివృద్ధి చెందుతున్నారనే వాస్తవాన్ని హైలైట్ చేస్తుంది మరియు వ్యక్తులు మరియు సంస్థలకు ఒకే విధంగా గణనీయమైన ముప్పును కలిగిస్తుంది.
ది విస్కర్స్పై ఇన్ఫెక్షన్ వాటర్ హోల్ అటాక్ టాక్టిక్ను ఉపయోగిస్తుంది
రాజీపడిన వెబ్సైట్లో వీడియోలను చూడటానికి ప్రయత్నించే సందర్శకులకు WhiskerSpy బ్యాక్డోర్ అందించబడుతుంది. దాడి చేసే వ్యక్తి వెబ్సైట్లోకి పాడైన స్క్రిప్ట్ను ఇంజెక్ట్ చేశాడు, ఇది ప్రదర్శించబడే వీడియో కంటెంట్ను అమలు చేయడానికి అవసరమైన వీడియో కోడెక్ను ఇన్స్టాల్ చేయమని సందర్శకులను ప్రేరేపిస్తుంది. గుర్తించడాన్ని నివారించడానికి, దాడి చేసే వ్యక్తి చట్టబద్ధమైన కోడెక్ ఇన్స్టాలర్ను సవరించాడు, తద్వారా ఇది బాధితుడి సిస్టమ్లో అంతకు ముందు చూడని బ్యాక్డోర్ను లోడ్ చేస్తుంది.
పరిశోధకుల ప్రకారం, బెదిరింపు నటులు షెన్యాంగ్, చైనా, నగోయా, జపాన్ మరియు బ్రెజిల్ నుండి IP చిరునామాలను కలిగి ఉన్న వెబ్సైట్ సందర్శకులను మాత్రమే లక్ష్యంగా చేసుకున్నారు. VPN కనెక్షన్ని ఉపయోగించి నీటి రంధ్రం దాడిని పరీక్షించడానికి బ్రెజిల్ ఉపయోగించబడిందని అనుమానించబడింది మరియు చైనా మరియు జపాన్లోని రెండు నగరాల నుండి వచ్చిన సందర్శకులు నిజమైన లక్ష్యాలు. సంబంధిత బాధితులు వీడియోను చూడటానికి కోడెక్ను ఇన్స్టాల్ చేయమని ప్రేరేపించిన నకిలీ ఎర్రర్ సందేశాన్ని అందుకుంటారు. అయితే, వాస్తవానికి, కోడెక్ అనేది బాధితుని కంప్యూటర్లో షెల్కోడ్ను ఇన్స్టాల్ చేసే MSI ఎక్జిక్యూటబుల్, ఇది పవర్షెల్ ఆదేశాల శ్రేణిని ప్రేరేపిస్తుంది, అది చివరికి WhiskerSpy బ్యాక్డోర్ను అమలు చేసింది.
ఈ ప్రచారంలో, ఎర్త్ కిట్సున్ గుర్తించబడకుండా ఉండటానికి అనేక పట్టుదల పద్ధతులను ఉపయోగించింది. Google Chrome హెల్పర్ అనే రాజీపడిన Google Chrome పొడిగింపును ఇన్స్టాల్ చేసిన Google Chromeలో స్థానిక సందేశ హోస్ట్ని దుర్వినియోగం చేయడం అటువంటి పద్ధతి. బ్రౌజర్ ప్రారంభించిన ప్రతిసారీ పేలోడ్ని అమలు చేయడానికి పొడిగింపు అనుమతించబడుతుంది. వన్డ్రైవ్ డైరెక్టరీలో అసురక్షిత ఫైల్ను (నకిలీ 'vcruntime140.dll') డ్రాప్ చేయడాన్ని ప్రారంభించిన మరో ఉపయోగించబడిన సాంకేతికత OneDrive సైడ్-లోడింగ్ దుర్బలత్వాలను ప్రభావితం చేస్తుంది.
WhiskerSpy బెదిరింపు కార్యాచరణల యొక్క విస్తారమైన జాబితాను కలిగి ఉంది
విస్కర్స్పై అనేది ఎర్త్ కిట్సున్ దాడి ప్రచారంలో భాగంగా మోహరించిన చివరి పేలోడ్. బ్యాక్డోర్ రిమోట్ ఆపరేటర్లకు ఇంటరాక్టివ్ షెల్, ఫైల్లను డౌన్లోడ్ చేయడం, అప్లోడ్ చేయడం మరియు తొలగించడం, ఫైల్లను జాబితా చేయడం, స్క్రీన్షాట్లు తీయడం, ఎక్జిక్యూటబుల్లను లోడ్ చేయడం మరియు షెల్కోడ్ను ప్రక్రియలోకి ఇంజెక్ట్ చేయడం వంటి వివిధ సామర్థ్యాలను అందిస్తుంది.
కమాండ్ అండ్ కంట్రోల్ (C2, C&C) సర్వర్తో కమ్యూనికేషన్ను నిర్వహించడానికి, WhiskerSpy ఎన్క్రిప్షన్ కోసం 16-బైట్ AES కీని ఉపయోగిస్తుంది. బ్యాక్డోర్ కాలానుగుణంగా C2 సర్వర్కు దాని స్థితి గురించి నవీకరణలను అందుకోవడానికి కనెక్ట్ చేస్తుంది మరియు షెల్ ఆదేశాలను అమలు చేయడం, మరొక ప్రక్రియలో కోడ్ను ఇంజెక్ట్ చేయడం, నిర్దిష్ట ఫైల్లను తీయడం లేదా స్క్రీన్షాట్లను తీయడం వంటి మాల్వేర్ సూచనలతో సర్వర్ ప్రతిస్పందించవచ్చు.
పరిశోధకులు C2 కమ్యూనికేషన్ కోసం HTTPకి బదులుగా FTP ప్రోటోకాల్ను ఉపయోగించిన WhiskerSpy యొక్క మునుపటి సంస్కరణను కనుగొన్నారు. ఈ పాత వేరియంట్ అమలు చేసిన తర్వాత డీబగ్గర్ ఉనికిని కూడా తనిఖీ చేసింది మరియు తగిన స్థితి కోడ్ని C2కి తెలియజేసింది. ఈ పరిశోధనలు మాల్వేర్ యొక్క స్థిరమైన పరిణామాన్ని హైలైట్ చేస్తాయి, ఎందుకంటే దాడి చేసేవారు గుర్తించకుండా తప్పించుకోవడానికి మరియు వాటి ప్రభావాన్ని పెంచడానికి వారి సాధనాలు మరియు సాంకేతికతలను స్వీకరించారు మరియు మెరుగుపరుస్తారు. అటువంటి బెదిరింపుల నుండి రక్షించడానికి పటిష్టమైన మరియు తాజా భద్రతా చర్యల అవసరాన్ని ఇది నొక్కి చెబుతుంది.