A WhiskerSpy Backdoor az APT-hez kapcsolódik
A kutatók egy új hátsó ajtót azonosítottak, amelyet a Föld Kitsune fejlett, állandó fenyegetést jelentő csoporthoz kapcsoltak, amely csoportot korábban tanulmányoztak. Az Earth Kitsune 2019 óta terjeszt saját fejlesztésű hátsó ajtókat az Észak-Korea iránt érdeklődő célpontok számára. Korábbi esetekben a kutatók arra a következtetésre jutottak, hogy a csoport „watering hole” taktikát alkalmazott Észak-Koreával kapcsolatos webhelyek kompromittálására és a böngészők kizsákmányolására. Legutóbbi támadásukban azonban a csoport social engineering taktikát alkalmazott a böngésző kihasználása helyett.
2022 végén a kutatók felfedezték, hogy egy észak-koreai szervezet webhelyét feltörték rosszindulatú programok terjesztése miatt. A támadók egy rosszindulatú szkriptet fecskendeztek be a webhely videooldalaiba, amely hamis hibaüzenetet jelentetett meg, és arra késztette az áldozatokat, hogy töltsenek le és telepítsenek egy trójai kodektelepítőt, amely egy új "WhiskerSpy" nevű hátsó ajtót töltött be. A támadók olyan kitartási technikát is alkalmaztak, amely kihasználta a Google Chrome natív üzenetküldő gazdagépét.
A támadók úgy konfigurálták a weboldalakat, hogy a rosszindulatú szkriptet kizárólag egy IP-címlistáról adják át a látogatóknak, megnehezítve a támadás észlelését. A kutatók azonban találtak egy szöveges fájlt a támadók szerverén, amely a megcélzott IP-címeknek megfelelő reguláris kifejezést tartalmazott. A kutatók megjegyezték, hogy valószínűleg a shenyangi és a nagoyai IP-címek voltak a valódi célpontok, míg a brazíliai célzott IP-címek többnyire egy kereskedelmi VPN-szolgáltatáshoz tartoztak, amelyet a támadók felhasználhattak a támadások tesztelésére. A támadás ellenőrzésére a kutatók ugyanazt a VPN-szolgáltatást használták a rosszindulatú szkript sikeres fogadásához.
Mi az a hátsó ajtó, és hogyan teheti ki további fenyegetéseknek?
A hátsó ajtó egy olyan rosszindulatú szoftver vagy kód, amely illetéktelen hozzáférést biztosít egy számítógéphez vagy hálózathoz, megkerülve a normál biztonsági mechanizmusokat. A hátsó ajtókat a kiberbűnözők arra használhatják, hogy hozzáférjenek érzékeny információkhoz, további rosszindulatú programokat telepítsenek, vagy távolról átvegyék a rendszer irányítását.
A hátsó ajtó telepítése után a rendszer nyitva marad a további fenyegetések széles skálája előtt. A támadók például használhatják a hátsó ajtót bejelentkezési adatok ellopására, keylogger-eket telepíthetnek érzékeny adatok rögzítésére, vagy zsarolóvírus-támadást indíthatnak a feltört rendszeren lévő fájlok titkosítására. A hátsó ajtók arra is használhatók, hogy a rosszindulatú programokat a hálózat más rendszereire is elterjesszék, lehetővé téve a támadók számára, hogy kiterjesszék hatókörüket, és érzékenyebb adatokhoz is hozzáférjenek.
Az illetéktelen hozzáférés és az adatlopás által okozott lehetséges károk mellett a hátsó ajtókat nehéz lehet észlelni és eltávolítani. Mivel úgy tervezték, hogy megkerüljék a normál biztonsági mechanizmusokat, mélyen elrejthetők a rendszer kódjában, ami megnehezíti észlelésüket a szabványos vírusirtó eszközökkel. Ennek eredményeként a hátsó ajtó jelenléte a rendszert hosszabb ideig sebezhetővé teheti a támadásokkal szemben, még a többi rosszindulatú program eltávolítása után is.