Бэкдор WhiskerSpy, связанный с APT

Исследователи выявили новый бэкдор, который был связан с группой продвинутых постоянных угроз Earth Kitsune, группой, которую они ранее изучали. Earth Kitsune распространяет бэкдоры собственной разработки среди целей, заинтересованных в Северной Корее, с 2019 года. В предыдущих случаях исследователи обнаружили, что группа использовала тактику водопоя для взлома веб-сайтов, связанных с Северной Кореей, и внедрения эксплойтов браузера. Однако в своей последней атаке группа использовала тактику социальной инженерии вместо эксплойтов браузера.

В конце 2022 года исследователи обнаружили, что веб-сайт просеверокорейской организации был скомпрометирован для распространения вредоносного ПО. Злоумышленники внедрили вредоносный скрипт на видеостраницы веб-сайта, которые отображали поддельное сообщение об ошибке, предлагая жертвам загрузить и установить троянский установщик кодека, который загружал новый бэкдор под названием «WhiskerSpy». Злоумышленники также использовали технику персистентности, которая использовала собственный хост обмена сообщениями Google Chrome.

Злоумышленники настроили веб-страницы для доставки вредоносного скрипта исключительно посетителям из списка IP-адресов, что затруднило обнаружение атаки. Однако исследователи обнаружили на сервере злоумышленников текстовый файл, содержащий регулярное выражение, совпадающее с целевыми IP-адресами. Исследователи отметили, что IP-адреса в Шэньяне и Нагое, вероятно, были реальными целями, в то время как целевые IP-адреса в Бразилии в основном принадлежали коммерческой службе VPN, которую злоумышленники могли использовать для проверки своих атак через водопой. Чтобы проверить атаку, исследователи использовали тот же VPN-сервис для успешного получения вредоносного скрипта.

Что такое бэкдор и как он может подвергнуть вас дополнительным угрозам?

Бэкдор — это тип вредоносного программного обеспечения или кода, который обеспечивает несанкционированный доступ к компьютеру или сети в обход обычных механизмов безопасности. Бэкдоры могут использоваться киберпреступниками для получения доступа к конфиденциальной информации, установки дополнительных вредоносных программ или удаленного управления системой.

Как только бэкдор установлен, он может оставить систему открытой для широкого спектра дополнительных угроз. Например, злоумышленники могут использовать бэкдор для кражи учетных данных для входа в систему, установки клавиатурных шпионов для захвата конфиденциальных данных или запуска атаки программ-вымогателей для шифрования файлов в скомпрометированной системе. Бэкдоры также можно использовать для распространения вредоносного ПО на другие системы в сети, что позволяет злоумышленникам расширить свои возможности и получить доступ к более конфиденциальным данным.

В дополнение к потенциальному ущербу, причиняемому несанкционированным доступом и кражей данных, бэкдоры бывает сложно обнаружить и удалить. Поскольку они предназначены для обхода обычных механизмов безопасности, они могут быть скрыты глубоко в системном коде, что затрудняет их обнаружение стандартными антивирусными инструментами. В результате наличие бэкдора может сделать систему уязвимой для атак в течение длительного периода времени, даже после удаления других вредоносных программ.