Backdoor WhiskerSpy powiązany z APT

Badacze zidentyfikowali nowy backdoor, który został powiązany z zaawansowaną, uporczywą grupą zagrożeń Earth Kitsune, grupą, którą wcześniej badali. Earth Kitsune od 2019 r. dystrybuuje opracowane przez siebie backdoory do celów zainteresowanych Koreą Północną. W poprzednich przypadkach badacze odkryli, że grupa stosowała taktykę wodopoju, aby narażać strony internetowe związane z Koreą Północną i wprowadzać exploity do przeglądarek. Jednak w swoim ostatnim ataku grupa zastosowała taktykę inżynierii społecznej zamiast exploitów przeglądarki.

Pod koniec 2022 roku badacze odkryli, że witryna internetowa pro-północnokoreańskiej organizacji została naruszona w celu dystrybucji złośliwego oprogramowania. Atakujący wstrzyknęli złośliwy skrypt na strony wideo witryny, które wyświetlały fałszywy komunikat o błędzie, zachęcając ofiary do pobrania i zainstalowania instalatora kodeków z trojanami, który ładował nowego backdoora o nazwie „WhiskerSpy”. Atakujący wykorzystali również technikę uporczywości, która wykorzystywała natywny host wiadomości Google Chrome.

Atakujący skonfigurowali strony internetowe tak, aby dostarczały szkodliwy skrypt wyłącznie odwiedzającym z listy adresów IP, co utrudnia wykrycie ataku. Jednak badacze znaleźli na serwerze atakujących plik tekstowy zawierający wyrażenie regularne pasujące do docelowych adresów IP. Naukowcy zauważyli, że adresy IP w Shenyang i Nagoya były prawdopodobnie prawdziwymi celami, podczas gdy docelowe adresy IP w Brazylii należały głównie do komercyjnej usługi VPN, której atakujący mogli użyć do przetestowania swoich ataków na wodopoje. Aby zweryfikować atak, badacze wykorzystali tę samą usługę VPN, aby pomyślnie otrzymać złośliwy skrypt.

Co to jest backdoor i jak może narazić Cię na dodatkowe zagrożenia?

Backdoor to rodzaj złośliwego oprogramowania lub kodu, który zapewnia nieautoryzowany dostęp do komputera lub sieci z pominięciem normalnych mechanizmów bezpieczeństwa. Backdoory mogą być wykorzystywane przez cyberprzestępców do uzyskiwania dostępu do poufnych informacji, instalowania dodatkowego złośliwego oprogramowania lub zdalnego przejmowania kontroli nad systemem.

Po zainstalowaniu backdoora może on pozostawić system otwarty na szeroką gamę dodatkowych zagrożeń. Atakujący mogą na przykład użyć backdoora do kradzieży danych logowania, zainstalować keyloggery w celu przechwytywania poufnych danych lub przeprowadzić atak ransomware w celu zaszyfrowania plików w zaatakowanym systemie. Backdoory mogą być również wykorzystywane do rozprzestrzeniania złośliwego oprogramowania na inne systemy w sieci, umożliwiając atakującym zwiększenie zasięgu i uzyskanie dostępu do bardziej wrażliwych danych.

Oprócz potencjalnych szkód spowodowanych nieautoryzowanym dostępem i kradzieżą danych, backdoory mogą być trudne do wykrycia i usunięcia. Ponieważ zostały zaprojektowane tak, aby omijać normalne mechanizmy bezpieczeństwa, mogą być ukryte głęboko w kodzie systemu, co utrudnia ich wykrycie za pomocą standardowych narzędzi antywirusowych. W rezultacie obecność backdoora może narazić system na ataki przez dłuższy czas, nawet po usunięciu innego złośliwego oprogramowania.