APTにリンクされたWhiskerSpyバックドア

研究者は、高度で持続的な脅威グループである Earth Kitsune にリンクされている新しいバックドアを特定しました。 Earth Kitsune は、2019 年以来、北朝鮮に関心のあるターゲットに自社開発のバックドアを配布してきました。以前のケースでは、研究者は、グループが水飲み場の戦術を使用して、北朝鮮関連の Web サイトを侵害し、ブラウザのエクスプロイトを挿入したことを発見しました。しかし、彼らの最新の攻撃では、グループはブラウザのエクスプロイトの代わりにソーシャル エンジニアリング戦術を採用しました。

2022 年後半、研究者は、親北朝鮮組織の Web サイトが侵害され、マルウェアが配布されたことを発見しました。攻撃者は、偽のエラー メッセージを表示する Web サイトのビデオ ページに悪意のあるスクリプトを挿入し、「WhiskerSpy」と呼ばれる新しいバックドアをロードするトロイの木馬化されたコーデック インストーラーをダウンロードしてインストールするよう被害者に促しました。攻撃者は、Google Chrome のネイティブ メッセージング ホストを利用する永続化手法も使用しました。

攻撃者は、IP アドレスのリストから訪問者だけに悪意のあるスクリプトを配信するように Web ページを構成し、攻撃の検出を困難にしました。しかし、研究者は攻撃者のサーバーで、標的の IP アドレスに一致する正規表現を含むテキスト ファイルを発見しました。研究者は、瀋陽と名古屋の IP アドレスが実際の標的である可能性が高いことを指摘しましたが、ブラジルの標的 IP アドレスは、攻撃者が水飲み場攻撃をテストするために使用した可能性のある商用 VPN サービスにほとんど属していました。攻撃を検証するために、研究者は同じ VPN サービスを使用して、悪意のあるスクリプトを正常に受信しました。

バックドアとは何ですか? また、どのようにして追加の脅威にさらされる可能性がありますか?

バックドアは、通常のセキュリティ メカニズムを迂回して、コンピュータまたはネットワークへの不正アクセスを提供する悪意のあるソフトウェアまたはコードの一種です。バックドアは、サイバー犯罪者が機密情報にアクセスしたり、追加のマルウェアをインストールしたり、システムをリモートで制御したりするために使用される可能性があります。

バックドアがインストールされると、システムがさまざまな脅威にさらされる可能性があります。たとえば、攻撃者はバックドアを使用してログイン資格情報を盗んだり、キーロガーをインストールして機密データを取得したり、ランサムウェア攻撃を開始して侵害されたシステム上のファイルを暗号化したりすることができます。バックドアは、ネットワーク内の他のシステムにマルウェアを拡散するためにも使用できます。これにより、攻撃者は範囲を拡大し、より機密性の高いデータにアクセスできるようになります。

不正アクセスやデータの盗難によって引き起こされる潜在的な損害に加えて、バックドアは検出と除去が困難な場合があります。これらは通常のセキュリティ メカニズムをバイパスするように設計されているため、システムのコードの奥深くに隠され、標準のウイルス対策ツールでは検出が困難になります。その結果、バックドアが存在すると、他のマルウェアが削除された後でも、システムが長時間にわたって攻撃に対して脆弱なままになる可能性があります。