Οι ερευνητές έχουν εντοπίσει ένα καινούργιο backdoor που ονομάζεται WhiskerSpy και χρησιμοποιείται από τον απειλητικό παράγοντα Earth Kitsune που στοχεύει άτομα που ενδιαφέρονται για τη Βόρεια Κορέα.
Ο απειλητικός παράγοντας χρησιμοποίησε μια δοκιμασμένη μέθοδο και επέλεξε θύματα από επισκέπτες σε μια ιστοσελίδα υπέρ της Βόρειας Κορέας, μια τακτική που είναι γνωστή ως επίθεση από λάκκους.
Η νέα επιχείρηση ανακαλύφθηκε στα τέλη του περασμένου έτους από ερευνητές της εταιρείας κυβερνοασφάλειας Trend Micro, οι οποίοι παρακολουθούν τη δραστηριότητα του Earth Kitsune από το 2019.
Δείτε επίσης: IT security budgets: Έχουν αυξηθεί δραστικά τα τελευταία 5 χρόνια
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
“Watering hole” επίθεση
Η Trend Micro ανακάλυψε ότι το WhiskerSpy εξαπλώνεται όταν οι επισκέπτες προσπαθούν να παρακολουθήσουν βίντεο σε έναν μολυσμένο ιστότοπο. Ο χάκερ κατάφερε να διεισδύσει στον ιστότοπο και να προσθέσει ένα κακόβουλο script που ζητά από τα θύματα να εγκαταστήσουν έναν κωδικοποιητή βίντεο προκειμένου να αναπαραχθεί το περιεχόμενο πολυμέσων.
Για να παραμείνει απαρατήρητος, ο δράστης τροποποίησε ένα νόμιμο πρόγραμμα εγκατάστασης κωδικοποιητή έτσι ώστε να εγκαταστήσει τελικά “ένα άγνωστο backdoor” στο σύστημα-στόχο.
Σύμφωνα με τα ευρήματά τους, οι ερευνητές αποκάλυψαν ότι ο κακόβουλος δράστης στόχευε μόνο τους επισκέπτες του ιστότοπου που είχαν διευθύνσεις IP από τη Shenyang στην Κίνα, τη Nagoya στην Ιαπωνία και τη Βραζιλία.
Δείτε επίσης: Fuser-master: Βάζει σε κίνδυνο τους ιστότοπους του WordPress
Τα στοιχεία υποδεικνύουν ότι η Βραζιλία χρησιμοποιήθηκε μόνο ως πεδίο δοκιμών για την επίθεση watering hole- η Κίνα και η Ιαπωνία ήταν πιθανότατα οι πραγματικοί στόχοι αυτής της κακόβουλης δραστηριότητας. Οι χρήστες που επισκέπτονταν αυτές τις δύο πόλεις θα έβλεπαν ένα ψεύτικο μήνυμα σφάλματος που θα τους ζητούσε να εγκαταστήσουν έναν κωδικοποιητή προκειμένου να παρακολουθήσουν βίντεο, αυξάνοντας έτσι περαιτέρω την έκθεσή τους στον κίνδυνο.
Στην πραγματικότητα, ο κωδικοποιητής είναι ένα εκτελέσιμο MSI που εγκαθιστά shellcode στον υπολογιστή του θύματος. Αυτό το shellcode ενεργοποιεί στη συνέχεια εντολές PowerShell οι οποίες τελικά αναπτύσσουν το WhiskerSpy backdoor.
Οι ερευνητές σημειώνουν ότι μια τεχνική persistence που χρησιμοποίησε ο απειλητικός παράγοντας Earth Kitsune σε αυτήν την καμπάνια κάνει abuse τον “native messaging host” στο Google Chrome και εγκαθιστά μια κακόβουλη επέκταση του Google Chrome που ονομάζεται Google Chrome Helper.
Ο στόχος της επέκτασης είναι να διασφαλίσει ότι το payload θα εκτελείται κάθε φορά που εκκινείται το πρόγραμμα περιήγησης.
Ένας εναλλακτικός τρόπος απόκτησης persistence είναι η εκμετάλλευση των ευαισθησιών side-loading του OneDrive που επιτρέπουν το drop ενός κακόβουλου αρχείου (ψεύτικο “vcruntime140.dll”) στο OneDrive directory.
Πληροφορίες για το WhiskerSpy
Το WhiskerSpy είναι το κύριο payload που χρησιμοποιείται στην τελευταία καμπάνια «Earth Kitsune», παρέχοντας στους απομακρυσμένους χειριστές τις ακόλουθες δυνατότητες:
- διαδραστικό shell
- λήψη αρχείου
- ανέβασμα αρχείου
- διαγραφή φακέλου
- δημιουργία λίστας αρχείων
- λήψη screenshot
- εισαγωγή του shellcode σε μια διαδικασία
Το backdoor επικοινωνεί με τον command and control (C2) server χρησιμοποιώντας ένα κλειδί AES 16 byte για κρυπτογράφηση.
Το WhiskerSpy συνδέεται περιοδικά στο C2 για ενημερώσεις σχετικά με την κατάστασή του και ο server μπορεί να ανταποκρίνεται με οδηγίες για το malware, όπως εκτέλεση shell command, εισαγωγή κώδικα σε άλλη διεργασία, εξαγωγή συγκεκριμένων αρχείων, λήψη screenshot.
Η Trend Micro ανακάλυψε μια παλαιότερη έκδοση του WhiskerSpy που χρησιμοποιεί το πρωτόκολλο FTP αντί για HTTP για επικοινωνία C2. Αυτή η παλαιότερη παραλλαγή ελέγχει επίσης για την παρουσία ενός προγράμματος εντοπισμού σφαλμάτων κατά την εκτέλεση και ενημερώνει το C2 με τον κατάλληλο κωδικό κατάστασης.
Δείτε επίσης: Κυβερνοεπίθεση στο δίκτυο υπολογιστών του FBI
Παρόλο που οι ερευνητές δεν είναι απόλυτα σίγουροι ότι την συγκεκριμένη επίθεση πραγματοποιεί η ομάδα Earth Kitsune, ο τρόπος λειτουργίας και οι στόχοι της είναι συγκρίσιμοι με δραστηριότητες που έχουν συνδεθεί προηγουμένως με την ομάδα.
Πηγή πληροφοριών: bleepingcomputer.com