WhiskerSpy Backdoor

Siber güvenlik araştırmacıları, WhiskerSpy olarak bilinen ve Earth Kitsune adlı nispeten yeni ama gelişmiş bir tehdit aktörü grubu tarafından konuşlandırılan yeni bir arka kapıyı ortaya çıkardı. Bu grup, Kuzey Kore'ye ilgi göstermiş kişileri hedef almasıyla tanınmaktadır.

Saldırılarını gerçekleştirmek için Earth Kitsune grubu, bir hedefin sistemine erişim elde etmek için kanıtlanmış ve etkili bir taktik olan, sulama deliği saldırısı olarak bilinen bir yöntem kullandı. Bu saldırıda, tehdit aktörleri, hedef kitleleri tarafından sıklıkla ziyaret edilen bir web sitesini tespit eder ve siteye, siteyi ziyaret ettiklerinde ziyaretçilerin cihazlarına erişmelerini sağlayan kötü amaçlı yazılım bulaştırır. Bu özel durumda, ele geçirilen web sitesi, ülkeyle ilgilenen kişiler tarafından sıklıkla ziyaret edilen Kuzey Kore yanlısı bir web sitesidir.

Güvenlik araştırmacıları, Earth Kitsune'un faaliyetlerini 2019'dan beri izliyor ve bu son kampanyayı geçen yılın sonuna doğru keşfettiler. Bu keşif, nispeten yeni tehdit aktörlerinin bile giderek daha fazla ilerlediğini ve hem bireyler hem de kuruluşlar için önemli bir tehdit oluşturduğu gerçeğini vurgulaması açısından önemlidir.

WhiskerSpy Enfeksiyonu Bir Sulama Çukuru Saldırısı Taktiği Kullanıyor

WhiskerSpy arka kapısı güvenliği ihlal edilmiş bir web sitesinde video izlemeye çalışan ziyaretçilere teslim edilir. Saldırgan, web sitesine, ziyaretçilerden görüntülenen video içeriğini çalıştırmak için gerekli olduğu varsayılan bir video codec'i yüklemelerini isteyen bozuk bir komut dosyası yerleştirdi. Saldırgan, tespit edilmekten kaçınmak için yasal bir codec yükleyiciyi değiştirerek kurbanın sistemine daha önce görülmemiş bir arka kapı yükledi.

Araştırmacılara göre, tehdit aktörleri yalnızca web sitesine Shenyang, Çin, Nagoya, Japonya ve Brezilya'dan IP adresleri olan ziyaretçileri hedef aldı. Brezilya'nın bir VPN bağlantısı kullanılarak yapılan sulama deliği saldırısını test etmek için kullanıldığından şüpheleniliyor ve gerçek hedeflerin Çin ve Japonya'daki iki şehirden gelen ziyaretçiler olduğundan şüpheleniliyor. İlgili kurbanlar, videoyu izlemek için bir codec bileşeni yüklemelerini isteyen sahte bir hata mesajı alacaktı. Bununla birlikte, codec gerçekte, kurbanın bilgisayarına bir kabuk kodu yükleyen ve sonuçta WhiskerSpy arka kapısını dağıtan bir dizi PowerShell komutunu tetikleyen bir MSI yürütülebilir dosyasıydı.

Bu kampanyada, Earth Kitsune fark edilmeden kalmak için birkaç kalıcılık tekniği kullandı. Bu tür yöntemlerden biri, Google Chrome Helper adlı güvenliği ihlal edilmiş bir Google Chrome uzantısı yükleyen Google Chrome'daki yerel mesajlaşma sunucusunun kötüye kullanılmasıdır. Uzantı, tarayıcı her başlatıldığında yükün yürütülmesine izin verdi. Kullanılan başka bir teknik, OneDrive dizinine güvenli olmayan bir dosyanın (sahte 'vcruntime140.dll') bırakılmasını sağlayan OneDrive yandan yükleme güvenlik açıklarından yararlanır.

WhiskerSpy'ın Kapsamlı Bir Tehdit İşlevleri Listesi Var

WhiskerSpy, Earth Kitsune saldırı kampanyasının bir parçası olarak dağıtılan son yüktür. Arka kapı, uzak operatörlere etkileşimli bir kabuk, dosyaları indirme, yükleme ve silme, dosyaları listeleme, ekran görüntüleri alma, yürütülebilir dosyaları yükleme ve bir işleme kabuk kodu ekleme gibi çeşitli yetenekler sağlar.

Komuta ve kontrol (C2, C&C) sunucusuyla iletişimi sürdürmek için WhiskerSpy, şifreleme için 16 baytlık bir AES anahtarı kullanır. Arka kapı, durumu hakkında güncellemeler almak için düzenli olarak C2 sunucusuna bağlanır ve sunucu, kabuk komutlarını yürütme, başka bir işleme kod enjekte etme, belirli dosyaları dışarı sızdırma veya ekran görüntüleri alma gibi kötü amaçlı yazılım talimatlarıyla yanıt verebilir.

Araştırmacılar, C2 iletişimi için HTTP yerine FTP protokolünü kullanan WhiskerSpy'ın daha önceki bir sürümünü keşfettiler. Bu daha eski varyant ayrıca yürütme sırasında bir hata ayıklayıcının varlığını kontrol etti ve C2'ye uygun durum kodunu bildirdi. Saldırganlar, tespit edilmekten kaçınmak ve etkinliklerini artırmak için araçlarını ve tekniklerini uyarlayıp iyileştirdikçe, bu bulgular kötü amaçlı yazılımın sürekli gelişimini vurgulamaktadır. Bu tür tehditlere karşı korunmak için sağlam ve güncel güvenlik önlemlerine duyulan ihtiyacı vurgular.