与 APT 相关的 WhiskerSpy 后门
研究人员发现了一个新的后门,该后门与他们之前研究过的高级持续威胁组织 Earth Kitsune 相关联。自 2019 年以来,Earth Kitsune 一直在向对朝鲜感兴趣的目标分发自行开发的后门程序。在之前的案例中,研究人员发现该组织使用水坑策略来破坏与朝鲜相关的网站并注入浏览器漏洞。然而,在他们最近的攻击中,该组织采用了社会工程策略而不是浏览器漏洞利用。
2022 年底,研究人员发现一个亲朝鲜组织的网站已被入侵以传播恶意软件。攻击者将恶意脚本注入网站的视频页面,显示虚假的错误消息,促使受害者下载并安装木马化的编解码器安装程序,该安装程序加载了一个名为“WhiskerSpy”的新后门。攻击者还使用了一种持久性技术,该技术利用了 Google Chrome 的本地消息传递主机。
攻击者将网页配置为专门向来自 IP 地址列表的访问者传送恶意脚本,从而难以检测到攻击。然而,研究人员在攻击者的服务器上发现了一个文本文件,其中包含与目标 IP 地址相匹配的正则表达式。研究人员指出,沉阳和名古屋的 IP 地址可能是真正的目标,而巴西的目标 IP 地址大多属于商业 VPN 服务,攻击者可能用它来测试他们的水坑攻击。为了验证攻击,研究人员使用相同的 VPN 服务成功接收了恶意脚本。
什么是后门,它如何让您面临更多威胁?
后门是一种恶意软件或代码,它提供对计算机或网络的未授权访问,绕过正常的安全机制。网络罪犯可以使用后门访问敏感信息、安装其他恶意软件或远程控制系统。
安装后门后,系统可能会面临各种其他威胁。例如,攻击者可以使用后门窃取登录凭据,安装键盘记录器以捕获敏感数据,或发起勒索软件攻击以加密受感染系统上的文件。后门还可用于将恶意软件传播到网络中的其他系统,从而使攻击者能够扩大影响范围并获得对更敏感数据的访问权限。
除了由未经授权的访问和数据盗窃造成的潜在损害外,后门程序也很难检测和删除。因为它们旨在绕过正常的安全机制,所以它们可以隐藏在系统代码的深处,使它们很难用标准的防病毒工具检测到。因此,后门的存在会使系统在很长一段时间内容易受到攻击,即使在其他恶意软件已被删除之后也是如此。