與 APT 相關的 WhiskerSpy 後門
研究人員發現了一個新的後門,該後門與他們之前研究過的高級持續威脅組織 Earth Kitsune 相關聯。自 2019 年以來,Earth Kitsune 一直在向對朝鮮感興趣的目標分發自行開發的後門程序。在之前的案例中,研究人員發現該組織使用水坑策略來破壞與朝鮮相關的網站並註入瀏覽器漏洞。然而,在他們最近的攻擊中,該組織採用了社會工程策略而不是瀏覽器漏洞利用。
2022 年底,研究人員發現一個親朝鮮組織的網站已被入侵以傳播惡意軟件。攻擊者將惡意腳本注入網站的視頻頁面,顯示虛假的錯誤消息,促使受害者下載並安裝木馬化的編解碼器安裝程序,該安裝程序加載了一個名為“WhiskerSpy”的新後門。攻擊者還使用了一種持久性技術,該技術利用了 Google Chrome 的本地消息傳遞主機。
攻擊者將網頁配置為專門向來自 IP 地址列表的訪問者傳送惡意腳本,從而難以檢測到攻擊。然而,研究人員在攻擊者的服務器上發現了一個文本文件,其中包含與目標 IP 地址相匹配的正則表達式。研究人員指出,沉陽和名古屋的 IP 地址可能是真正的目標,而巴西的目標 IP 地址大多屬於商業 VPN 服務,攻擊者可能用它來測試他們的水坑攻擊。為了驗證攻擊,研究人員使用相同的 VPN 服務成功接收了惡意腳本。
什麼是後門,它如何讓您面臨更多威脅?
後門是一種惡意軟件或代碼,它提供對計算機或網絡的未授權訪問,繞過正常的安全機制。網絡罪犯可以使用後門訪問敏感信息、安裝其他惡意軟件或遠程控制系統。
安裝後門後,系統可能會面臨各種其他威脅。例如,攻擊者可以使用後門竊取登錄憑據,安裝鍵盤記錄器以捕獲敏感數據,或發起勒索軟件攻擊以加密受感染系統上的文件。後門還可用於將惡意軟件傳播到網絡中的其他系統,從而使攻擊者能夠擴大影響範圍並獲得對更敏感數據的訪問權限。
除了由未經授權的訪問和數據盜竊造成的潛在損害外,後門程序也很難檢測和刪除。因為它們旨在繞過正常的安全機制,所以它們可以隱藏在系統代碼的深處,使它們很難用標準的防病毒工具檢測到。因此,後門的存在會使系統在很長一段時間內容易受到攻擊,即使在其他惡意軟件已被刪除之後也是如此。
