Porte dérobée WhiskerSpy liée à APT

Les chercheurs ont identifié une nouvelle porte dérobée qui a été liée au groupe de menaces persistantes avancées Earth Kitsune, un groupe qu'ils ont déjà étudié. Earth Kitsune distribue des portes dérobées auto-développées aux cibles intéressées par la Corée du Nord depuis 2019. Dans des cas précédents, les chercheurs ont découvert que le groupe utilisait des tactiques de point d'eau pour compromettre les sites Web liés à la Corée du Nord et injecter des exploits de navigateur. Cependant, lors de leur dernière attaque, le groupe a utilisé des tactiques d'ingénierie sociale au lieu d'exploits de navigateur.

Fin 2022, des chercheurs ont découvert que le site Web d'une organisation pro-nord-coréenne avait été compromis pour diffuser des logiciels malveillants. Les attaquants ont injecté un script malveillant dans les pages vidéo du site Web qui affichait un faux message d'erreur, invitant les victimes à télécharger et à installer un programme d'installation de codec trojanisé qui chargeait une nouvelle porte dérobée appelée "WhiskerSpy". Les attaquants ont également utilisé une technique de persistance qui a tiré parti de l'hôte de messagerie natif de Google Chrome.

Les attaquants ont configuré les pages Web pour fournir le script malveillant exclusivement aux visiteurs à partir d'une liste d'adresses IP, ce qui rend difficile la détection de l'attaque. Cependant, les chercheurs ont trouvé un fichier texte sur le serveur des attaquants contenant une expression régulière correspondant aux adresses IP ciblées. Les chercheurs ont noté que les adresses IP de Shenyang et de Nagoya étaient probablement les véritables cibles, tandis que les adresses IP ciblées au Brésil appartenaient principalement à un service VPN commercial que les attaquants auraient pu utiliser pour tester leurs attaques de point d'eau. Pour vérifier l'attaque, les chercheurs ont utilisé le même service VPN pour recevoir avec succès le script malveillant.

Qu'est-ce qu'une porte dérobée et comment peut-elle vous exposer à des menaces supplémentaires ?

Une porte dérobée est un type de logiciel ou de code malveillant qui fournit un accès non autorisé à un ordinateur ou à un réseau, en contournant les mécanismes de sécurité normaux. Les portes dérobées peuvent être utilisées par les cybercriminels pour accéder à des informations sensibles, installer des logiciels malveillants supplémentaires ou prendre le contrôle d'un système à distance.

Une fois qu'une porte dérobée est installée, elle peut laisser un système ouvert à un large éventail de menaces supplémentaires. Par exemple, les attaquants peuvent utiliser la porte dérobée pour voler les identifiants de connexion, installer des enregistreurs de frappe pour capturer des données sensibles ou lancer une attaque de ransomware pour chiffrer les fichiers sur le système compromis. Les portes dérobées peuvent également être utilisées pour propager le malware à d'autres systèmes du réseau, permettant aux attaquants d'étendre leur portée et d'accéder à des données plus sensibles.

En plus des dommages potentiels causés par l'accès non autorisé et le vol de données, les portes dérobées peuvent être difficiles à détecter et à supprimer. Parce qu'ils sont conçus pour contourner les mécanismes de sécurité normaux, ils peuvent être cachés profondément dans le code d'un système, ce qui les rend difficiles à détecter avec les outils antivirus standard. Par conséquent, la présence d'une porte dérobée peut laisser un système vulnérable aux attaques pendant une période prolongée, même après la suppression d'autres logiciels malveillants.