WhiskerSpy Bagdør knyttet til APT

Forskere har identificeret en ny bagdør, der er blevet forbundet med den avancerede vedvarende trusselgruppe Earth Kitsune, en gruppe de tidligere har undersøgt. Earth Kitsune har distribueret selvudviklede bagdøre til mål, der er interesserede i Nordkorea siden 2019. I tidligere tilfælde fandt forskere ud af, at gruppen brugte vandhulstaktik til at kompromittere Nordkorea-relaterede websteder og injicere browserudnyttelse. Men i deres seneste angreb brugte gruppen social engineering taktik i stedet for browserudnyttelse.

I slutningen af 2022 opdagede forskere, at hjemmesiden for en pro-nordkoreansk organisation var blevet kompromitteret til at distribuere malware. Angriberne injicerede et ondsindet script på webstedets videosider, der viste en falsk fejlmeddelelse, hvilket fik ofrene til at downloade og installere et trojaniseret codec-installationsprogram, der indlæste en ny bagdør kaldet "WhiskerSpy". Angriberne brugte også en persistensteknik, der udnyttede Google Chromes oprindelige messaging-vært.

Angriberne konfigurerede websiderne til udelukkende at levere det ondsindede script til besøgende fra en liste over IP-adresser, hvilket gjorde det vanskeligt at opdage angrebet. Forskere fandt dog en tekstfil på angriberens server indeholdende et regulært udtryk, der matchede de målrettede IP-adresser. Forskerne bemærkede, at IP-adresserne i Shenyang og Nagoya sandsynligvis var de rigtige mål, mens de målrettede IP-adresser i Brasilien for det meste tilhørte en kommerciel VPN-tjeneste, som angriberne kan have brugt til at teste deres vandhulsangreb. For at bekræfte angrebet brugte forskere den samme VPN-tjeneste til at modtage det ondsindede script.

Hvad er en bagdør, og hvordan kan den udsætte dig for yderligere trusler?

En bagdør er en type ondsindet software eller kode, der giver uautoriseret adgang til en computer eller et netværk, og omgår normale sikkerhedsmekanismer. Bagdøre kan bruges af cyberkriminelle til at få adgang til følsomme oplysninger, installere yderligere malware eller tage kontrol over et system eksternt.

Når først en bagdør er installeret, kan den efterlade et system åbent for en lang række yderligere trusler. For eksempel kan angribere bruge bagdøren til at stjæle login-legitimationsoplysninger, installere keyloggere til at fange følsomme data eller starte et ransomware-angreb for at kryptere filer på det kompromitterede system. Bagdøre kan også bruges til at sprede malwaren til andre systemer på netværket, hvilket giver angribere mulighed for at udvide deres rækkevidde og få adgang til mere følsomme data.

Ud over den potentielle skade forårsaget af uautoriseret adgang og datatyveri, kan bagdøre være svære at opdage og fjerne. Fordi de er designet til at omgå normale sikkerhedsmekanismer, kan de skjules dybt inde i et systems kode, hvilket gør dem vanskelige at opdage med standard antivirusværktøjer. Som følge heraf kan tilstedeværelsen af en bagdør efterlade et system sårbart over for angreb i en længere periode, selv efter at anden malware er blevet fjernet.