WhiskerSpy Backdoor mit APT verknüpft

Forscher haben eine neue Hintertür identifiziert, die mit der Advanced Persistent Threat Group Earth Kitsune in Verbindung gebracht wurde, einer Gruppe, die sie zuvor untersucht haben. Earth Kitsune verteilt seit 2019 selbst entwickelte Backdoors an Ziele, die an Nordkorea interessiert sind. In früheren Fällen fanden Forscher heraus, dass die Gruppe Watering-Hole-Taktiken nutzte, um Websites mit Bezug zu Nordkorea zu kompromittieren und Browser-Exploits einzuschleusen. Bei ihrem jüngsten Angriff verwendete die Gruppe jedoch Social-Engineering-Taktiken anstelle von Browser-Exploits.

Ende 2022 entdeckten Forscher, dass die Website einer pro-nordkoreanischen Organisation kompromittiert worden war, um Malware zu verbreiten. Die Angreifer fügten ein bösartiges Skript in die Videoseiten der Website ein, das eine gefälschte Fehlermeldung anzeigte und die Opfer aufforderte, ein trojanisiertes Codec-Installationsprogramm herunterzuladen und zu installieren, das eine neue Hintertür namens „WhiskerSpy“ lud. Die Angreifer verwendeten außerdem eine Persistenztechnik, die sich den nativen Messaging-Host von Google Chrome zunutze machte.

Die Angreifer haben die Webseiten so konfiguriert, dass sie das bösartige Skript ausschließlich an Besucher von einer Liste von IP-Adressen liefern, was es schwierig macht, den Angriff zu erkennen. Die Forscher fanden jedoch eine Textdatei auf dem Server der Angreifer, die einen regulären Ausdruck enthielt, der mit den Ziel-IP-Adressen übereinstimmte. Die Forscher stellten fest, dass die IP-Adressen in Shenyang und Nagoya wahrscheinlich die eigentlichen Ziele waren, während die Ziel-IP-Adressen in Brasilien hauptsächlich zu einem kommerziellen VPN-Dienst gehörten, den die Angreifer möglicherweise zum Testen ihrer Watering-Hole-Angriffe verwendet haben. Um den Angriff zu verifizieren, verwendeten die Forscher denselben VPN-Dienst, um das bösartige Skript erfolgreich zu empfangen.

Was ist eine Backdoor und wie kann sie Sie zusätzlichen Bedrohungen aussetzen?

Eine Hintertür ist eine Art bösartiger Software oder Code, der unbefugten Zugriff auf einen Computer oder ein Netzwerk ermöglicht und normale Sicherheitsmechanismen umgeht. Hintertüren können von Cyberkriminellen verwendet werden, um Zugang zu vertraulichen Informationen zu erhalten, zusätzliche Malware zu installieren oder die Kontrolle über ein System aus der Ferne zu übernehmen.

Sobald eine Hintertür installiert ist, kann sie ein System einer Vielzahl zusätzlicher Bedrohungen aussetzen. Angreifer können beispielsweise die Hintertür verwenden, um Anmeldeinformationen zu stehlen, Keylogger installieren, um sensible Daten zu erfassen, oder einen Ransomware-Angriff starten, um Dateien auf dem kompromittierten System zu verschlüsseln. Hintertüren können auch verwendet werden, um die Malware auf andere Systeme im Netzwerk zu verbreiten, wodurch Angreifer ihre Reichweite erweitern und Zugriff auf sensiblere Daten erhalten können.

Zusätzlich zu den potenziellen Schäden durch unbefugten Zugriff und Datendiebstahl können Backdoors schwer zu erkennen und zu entfernen sein. Da sie darauf ausgelegt sind, normale Sicherheitsmechanismen zu umgehen, können sie tief im Code eines Systems verborgen sein, wodurch sie mit Standard-Antiviren-Tools schwer zu erkennen sind. Infolgedessen kann das Vorhandensein einer Hintertür ein System für einen längeren Zeitraum anfällig für Angriffe machen, selbst nachdem andere Malware entfernt wurde.