Το WhiskerSpy Backdoor συνδέεται με το APT

Οι ερευνητές εντόπισαν μια νέα κερκόπορτα που έχει συνδεθεί με την προηγμένη ομάδα επίμονων απειλών Earth Kitsune, μια ομάδα που είχαν μελετήσει στο παρελθόν. Η Earth Kitsune διανέμει αυτοαναπτυγμένες κερκόπορτες σε στόχους που ενδιαφέρονται για τη Βόρεια Κορέα από το 2019. Σε προηγούμενες περιπτώσεις, οι ερευνητές ανακάλυψαν ότι η ομάδα χρησιμοποιούσε τακτικές για να υπονομεύσει ιστότοπους που σχετίζονται με τη Βόρεια Κορέα και να εισαγάγει εκμεταλλεύσεις προγράμματος περιήγησης. Ωστόσο, στην τελευταία τους επίθεση, η ομάδα χρησιμοποίησε τακτικές κοινωνικής μηχανικής αντί για εκμεταλλεύσεις προγράμματος περιήγησης.

Στα τέλη του 2022, οι ερευνητές ανακάλυψαν ότι ο ιστότοπος μιας οργάνωσης που υποστηρίζει τη Βόρεια Κορέα είχε παραβιαστεί για τη διανομή κακόβουλου λογισμικού. Οι εισβολείς εισήγαγαν ένα κακόβουλο σενάριο στις σελίδες βίντεο του ιστότοπου που εμφάνιζε ένα ψεύτικο μήνυμα σφάλματος, ωθώντας τα θύματα να κατεβάσουν και να εγκαταστήσουν ένα πρόγραμμα εγκατάστασης κωδικοποιητή με trojanized που φόρτωσε μια νέα κερκόπορτα που ονομάζεται "WhiskerSpy". Οι εισβολείς χρησιμοποίησαν επίσης μια τεχνική επιμονής που εκμεταλλεύτηκε τον εγγενή κεντρικό υπολογιστή ανταλλαγής μηνυμάτων του Google Chrome.

Οι εισβολείς διαμόρφωσαν τις ιστοσελίδες ώστε να παραδίδουν το κακόβουλο σενάριο αποκλειστικά στους επισκέπτες από μια λίστα διευθύνσεων IP, καθιστώντας δύσκολο τον εντοπισμό της επίθεσης. Ωστόσο, οι ερευνητές βρήκαν ένα αρχείο κειμένου στον διακομιστή των εισβολέων που περιέχει μια τυπική έκφραση που ταίριαζε με τις στοχευμένες διευθύνσεις IP. Οι ερευνητές παρατήρησαν ότι οι διευθύνσεις IP στο Shenyang και στη Nagoya ήταν πιθανώς οι πραγματικοί στόχοι, ενώ οι στοχευμένες διευθύνσεις IP στη Βραζιλία ανήκαν κυρίως σε μια εμπορική υπηρεσία VPN που οι επιτιθέμενοι μπορεί να είχαν χρησιμοποιήσει για να δοκιμάσουν τις επιθέσεις τους. Για να επαληθεύσουν την επίθεση, οι ερευνητές χρησιμοποίησαν την ίδια υπηρεσία VPN για να λάβουν με επιτυχία το κακόβουλο σενάριο.

Τι είναι το Backdoor και πώς μπορεί να σας εκθέσει σε πρόσθετες απειλές;

Το backdoor είναι ένας τύπος κακόβουλου λογισμικού ή κώδικα που παρέχει μη εξουσιοδοτημένη πρόσβαση σε έναν υπολογιστή ή δίκτυο, παρακάμπτοντας κανονικούς μηχανισμούς ασφαλείας. Τα backdoors μπορούν να χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, να εγκαταστήσουν πρόσθετο κακόβουλο λογισμικό ή να αναλάβουν τον έλεγχο ενός συστήματος από απόσταση.

Μόλις εγκατασταθεί μια κερκόπορτα, μπορεί να αφήσει ένα σύστημα ανοιχτό σε ένα ευρύ φάσμα πρόσθετων απειλών. Για παράδειγμα, οι εισβολείς μπορούν να χρησιμοποιήσουν την κερκόπορτα για να κλέψουν διαπιστευτήρια σύνδεσης, να εγκαταστήσουν keylogger για να καταγράψουν ευαίσθητα δεδομένα ή να ξεκινήσουν μια επίθεση ransomware για να κρυπτογραφήσουν αρχεία στο παραβιασμένο σύστημα. Τα Backdoors μπορούν επίσης να χρησιμοποιηθούν για τη διάδοση του κακόβουλου λογισμικού σε άλλα συστήματα του δικτύου, επιτρέποντας στους εισβολείς να επεκτείνουν την εμβέλειά τους και να αποκτήσουν πρόσβαση σε πιο ευαίσθητα δεδομένα.

Εκτός από την πιθανή ζημιά που προκαλείται από μη εξουσιοδοτημένη πρόσβαση και κλοπή δεδομένων, οι κερκόπορτες μπορεί να είναι δύσκολο να εντοπιστούν και να αφαιρεθούν. Επειδή έχουν σχεδιαστεί για να παρακάμπτουν κανονικούς μηχανισμούς ασφαλείας, μπορούν να κρυφτούν βαθιά μέσα στον κώδικα ενός συστήματος, γεγονός που καθιστά δύσκολο τον εντοπισμό τους με τυπικά εργαλεία προστασίας από ιούς. Ως αποτέλεσμα, η παρουσία μιας κερκόπορτας μπορεί να αφήσει ένα σύστημα ευάλωτο σε επιθέσεις για μεγάλο χρονικό διάστημα, ακόμη και μετά την αφαίρεση άλλου κακόβουλου λογισμικού.