WhiskerSpy Backdoor Collegato ad APT

I ricercatori hanno identificato una nuova backdoor che è stata collegata al gruppo di minacce persistenti avanzate Earth Kitsune, un gruppo che hanno studiato in precedenza. Earth Kitsune distribuisce backdoor auto-sviluppate a obiettivi interessati alla Corea del Nord dal 2019. In casi precedenti, i ricercatori hanno scoperto che il gruppo ha utilizzato tattiche di watering hole per compromettere i siti Web relativi alla Corea del Nord e iniettare exploit del browser. Tuttavia, nel loro ultimo attacco, il gruppo ha utilizzato tattiche di ingegneria sociale invece di exploit del browser.

Alla fine del 2022, i ricercatori hanno scoperto che il sito Web di un'organizzazione filo-coreana era stato compromesso per distribuire malware. Gli aggressori hanno iniettato uno script dannoso nelle pagine video del sito Web che mostrava un falso messaggio di errore, spingendo le vittime a scaricare e installare un programma di installazione di codec trojan che caricava una nuova backdoor chiamata "WhiskerSpy". Gli aggressori hanno utilizzato anche una tecnica di persistenza che ha sfruttato l'host di messaggistica nativo di Google Chrome.

Gli aggressori hanno configurato le pagine Web per fornire lo script dannoso esclusivamente ai visitatori da un elenco di indirizzi IP, rendendo difficile il rilevamento dell'attacco. Tuttavia, i ricercatori hanno trovato un file di testo sul server degli aggressori contenente un'espressione regolare che corrispondeva agli indirizzi IP presi di mira. I ricercatori hanno notato che gli indirizzi IP di Shenyang e Nagoya erano probabilmente i veri bersagli, mentre gli indirizzi IP presi di mira in Brasile appartenevano principalmente a un servizio VPN commerciale che gli aggressori potrebbero aver utilizzato per testare i loro attacchi di abbeveratoio. Per verificare l'attacco, i ricercatori hanno utilizzato lo stesso servizio VPN per ricevere con successo lo script dannoso.

Che cos'è una backdoor e come può esporvi a ulteriori minacce?

Una backdoor è un tipo di software o codice dannoso che consente l'accesso non autorizzato a un computer oa una rete, aggirando i normali meccanismi di sicurezza. Le backdoor possono essere utilizzate dai criminali informatici per ottenere l'accesso a informazioni sensibili, installare malware aggiuntivo o assumere il controllo di un sistema da remoto.

Una volta installata, una backdoor può lasciare un sistema aperto a un'ampia gamma di minacce aggiuntive. Ad esempio, gli aggressori possono utilizzare la backdoor per rubare le credenziali di accesso, installare keylogger per acquisire dati sensibili o lanciare un attacco ransomware per crittografare i file sul sistema compromesso. Le backdoor possono anche essere utilizzate per diffondere il malware ad altri sistemi nella rete, consentendo agli aggressori di espandere la propria portata e ottenere l'accesso a dati più sensibili.

Oltre ai potenziali danni causati da accessi non autorizzati e furto di dati, le backdoor possono essere difficili da rilevare e rimuovere. Poiché sono progettati per aggirare i normali meccanismi di sicurezza, possono essere nascosti in profondità all'interno del codice di un sistema, rendendoli difficili da rilevare con gli strumenti antivirus standard. Di conseguenza, la presenza di una backdoor può lasciare un sistema vulnerabile agli attacchi per un lungo periodo di tempo, anche dopo che altro malware è stato rimosso.

February 20, 2023
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.