WhiskerSpy Backdoor Länkad till APT
Forskare har identifierat en ny bakdörr som har kopplats till den avancerade ihållande hotgruppen Earth Kitsune, en grupp som de tidigare har studerat. Earth Kitsune har distribuerat egenutvecklade bakdörrar till mål som är intresserade av Nordkorea sedan 2019. I tidigare fall fann forskare att gruppen använde vattenhålstaktik för att äventyra Nordkorea-relaterade webbplatser och injicera webbläsarmissbruk. Men i sin senaste attack använde gruppen social ingenjörstaktik istället för webbläsarmissbruk.
I slutet av 2022 upptäckte forskare att webbplatsen för en pro-nordkoreansk organisation hade äventyrats för att distribuera skadlig programvara. Angriparna injicerade ett skadligt skript på webbplatsens videosidor som visade ett falskt felmeddelande, vilket fick offren att ladda ner och installera ett trojaniserat codec-installationsprogram som laddade en ny bakdörr som heter "WhiskerSpy". Angriparna använde också en uthållighetsteknik som utnyttjade Google Chromes inbyggda meddelandevärd.
Angriparna konfigurerade webbsidorna för att leverera det skadliga skriptet exklusivt till besökare från en lista med IP-adresser, vilket gjorde det svårt att upptäcka attacken. Men forskare hittade en textfil på angriparnas server som innehöll ett reguljärt uttryck som matchade de riktade IP-adresserna. Forskarna noterade att IP-adresserna i Shenyang och Nagoya sannolikt var de verkliga målen, medan de riktade IP-adresserna i Brasilien mestadels tillhörde en kommersiell VPN-tjänst som angriparna kan ha använt för att testa sina vattenhålsattacker. För att verifiera attacken använde forskare samma VPN-tjänst för att framgångsrikt ta emot det skadliga skriptet.
Vad är en bakdörr och hur kan den utsätta dig för ytterligare hot?
En bakdörr är en typ av skadlig programvara eller kod som ger obehörig åtkomst till en dator eller ett nätverk och kringgår normala säkerhetsmekanismer. Bakdörrar kan användas av cyberkriminella för att få tillgång till känslig information, installera ytterligare skadlig programvara eller ta kontroll över ett system på distans.
När en bakdörr väl är installerad kan den lämna ett system öppet för en lång rad ytterligare hot. Angripare kan till exempel använda bakdörren för att stjäla inloggningsuppgifter, installera keyloggers för att fånga känslig data eller starta en ransomware-attack för att kryptera filer på det komprometterade systemet. Bakdörrar kan också användas för att sprida skadlig programvara till andra system i nätverket, vilket gör att angripare kan utöka sin räckvidd och få tillgång till känsligare data.
Utöver den potentiella skadan som orsakas av obehörig åtkomst och datastöld kan bakdörrar vara svåra att upptäcka och ta bort. Eftersom de är designade för att kringgå normala säkerhetsmekanismer kan de döljas djupt i systemets kod, vilket gör dem svåra att upptäcka med vanliga antivirusverktyg. Som ett resultat kan närvaron av en bakdörr göra ett system sårbart för attack under en längre tid, även efter att annan skadlig kod har tagits bort.
