WhiskerSpy Backdoor gekoppeld aan APT
Onderzoekers hebben een nieuwe achterdeur geïdentificeerd die is gekoppeld aan de geavanceerde persistente dreigingsgroep Earth Kitsune, een groep die ze eerder hebben bestudeerd. Earth Kitsune verspreidt sinds 2019 zelfontwikkelde backdoors naar doelwitten die geïnteresseerd zijn in Noord-Korea. In eerdere gevallen ontdekten onderzoekers dat de groep tactieken gebruikte om Noord-Korea-gerelateerde websites te compromitteren en browser-exploits te injecteren. Bij hun laatste aanval gebruikte de groep echter social engineering-tactieken in plaats van browser-exploits.
Eind 2022 ontdekten onderzoekers dat de website van een pro-Noord-Koreaanse organisatie was gecompromitteerd om malware te verspreiden. De aanvallers injecteerden een kwaadaardig script in de videopagina's van de website dat een valse foutmelding weergaf, waardoor de slachtoffers een getrojaniseerd codec-installatieprogramma moesten downloaden en installeren dat een nieuwe backdoor genaamd "WhiskerSpy" laadde. De aanvallers gebruikten ook een persistentietechniek die profiteerde van de native messaging-host van Google Chrome.
De aanvallers hebben de webpagina's geconfigureerd om het kwaadaardige script exclusief aan bezoekers te leveren vanuit een lijst met IP-adressen, waardoor het moeilijk was om de aanval te detecteren. Onderzoekers vonden echter een tekstbestand op de server van de aanvallers met een reguliere expressie die overeenkwam met de beoogde IP-adressen. De onderzoekers merkten op dat de IP-adressen in Shenyang en Nagoya waarschijnlijk de echte doelen waren, terwijl de gerichte IP-adressen in Brazilië meestal toebehoorden aan een commerciële VPN-service die de aanvallers mogelijk hebben gebruikt om hun watering hole-aanvallen te testen. Om de aanval te verifiëren, gebruikten onderzoekers dezelfde VPN-service om het kwaadaardige script met succes te ontvangen.
Wat is een achterdeur en hoe kan deze u blootstellen aan extra bedreigingen?
Een backdoor is een soort schadelijke software of code die ongeautoriseerde toegang tot een computer of netwerk verschaft, waarbij normale beveiligingsmechanismen worden omzeild. Backdoors kunnen door cybercriminelen worden gebruikt om toegang te krijgen tot gevoelige informatie, extra malware te installeren of op afstand de controle over een systeem over te nemen.
Als er eenmaal een achterdeur is geïnstalleerd, kan dit een systeem blootstellen aan een breed scala aan extra bedreigingen. Aanvallers kunnen de achterdeur bijvoorbeeld gebruiken om inloggegevens te stelen, keyloggers te installeren om gevoelige gegevens vast te leggen of een ransomware-aanval uit te voeren om bestanden op het gecompromitteerde systeem te versleutelen. Backdoors kunnen ook worden gebruikt om de malware naar andere systemen in het netwerk te verspreiden, waardoor aanvallers hun bereik kunnen vergroten en toegang kunnen krijgen tot gevoeligere gegevens.
Naast de potentiële schade die wordt veroorzaakt door ongeautoriseerde toegang en gegevensdiefstal, kunnen backdoors moeilijk te detecteren en te verwijderen zijn. Omdat ze zijn ontworpen om normale beveiligingsmechanismen te omzeilen, kunnen ze diep in de code van een systeem worden verborgen, waardoor ze moeilijk te detecteren zijn met standaard antivirusprogramma's. Als gevolg hiervan kan de aanwezigheid van een achterdeur een systeem gedurende langere tijd kwetsbaar maken voor aanvallen, zelfs nadat andere malware is verwijderd.
