WhiskerSpy Backdoor

Cybersicherheitsforscher haben eine neue Hintertür namens WhiskerSpy entdeckt, die von einer relativ neuen, aber fortschrittlichen Gruppe von Bedrohungsakteuren namens Earth Kitsune eingesetzt wurde. Diese Gruppe ist dafür bekannt geworden, dass sie auf Personen abzielt, die ein Interesse an Nordkorea gezeigt haben.

Um ihren Angriff auszuführen, hat die Earth Kitsune-Gruppe eine Methode verwendet, die als Watering-Hole-Angriff bekannt ist, eine bewährte und effektive Taktik, um Zugang zum System eines Ziels zu erhalten. Bei diesem Angriff identifizieren die Bedrohungsakteure eine Website, die häufig von ihrer Zielgruppe besucht wird, und infizieren sie mit Malware, die es ihnen ermöglicht, Zugriff auf die Geräte der Besucher zu erhalten, wenn diese die Website besuchen. In diesem speziellen Fall handelt es sich bei der kompromittierten Website um eine Pro-Nordkorea-Website, die häufig von Personen besucht wird, die sich für das Land interessieren.

Sicherheitsforscher beobachten die Aktivitäten von Earth Kitsune seit 2019 und entdeckten diese neueste Kampagne gegen Ende des Vorjahres. Diese Entdeckung ist bedeutsam, da sie die Tatsache unterstreicht, dass selbst relativ neue Bedrohungsakteure immer fortschrittlicher werden und eine erhebliche Bedrohung für Einzelpersonen und Organisationen gleichermaßen darstellen.

Die WhiskerSpy-Infektion verwendet eine Watering-Hole-Angriffstaktik

Die WhiskerSpy-Hintertür wird Besuchern zugestellt, die versuchen, Videos auf einer kompromittierten Website anzusehen. Der Angreifer hat ein beschädigtes Skript in die Website eingeschleust, das Besucher dazu auffordert, einen Video-Codec zu installieren, der angeblich erforderlich ist, um die angezeigten Videoinhalte auszuführen. Um der Entdeckung zu entgehen, modifizierte der Angreifer einen legitimen Codec-Installer so, dass er letztendlich eine zuvor unsichtbare Hintertür auf das System des Opfers lädt.

Laut Forschern zielten die Angreifer nur auf Besucher der Website ab, die IP-Adressen aus Shenyang, China, Nagoya, Japan und Brasilien hatten. Es wird vermutet, dass Brasilien zum Testen des Watering-Hole-Angriffs über eine VPN-Verbindung verwendet wurde und die eigentlichen Ziele Besucher aus den beiden Städten in China und Japan waren. Relevante Opfer würden eine gefälschte Fehlermeldung erhalten, die sie aufforderte, einen Codec zu installieren, um das Video anzusehen. Der Codec war jedoch in Wirklichkeit eine ausführbare MSI-Datei, die einen Shellcode auf dem Computer des Opfers installierte und eine Reihe von PowerShell-Befehlen auslöste, die schließlich die WhiskerSpy-Hintertür zum Einsatz brachten.

In dieser Kampagne verwendete Earth Kitsune mehrere Persistenztechniken, um unentdeckt zu bleiben. Eine solche Methode ist der Missbrauch des nativen Messaging-Hosts in Google Chrome, der eine kompromittierte Google Chrome-Erweiterung namens Google Chrome Helper installiert hatte. Die Erweiterung ermöglichte die Ausführung der Payload bei jedem Start des Browsers. Eine andere verwendete Technik nutzt OneDrive-Schwachstellen beim seitlichen Laden, die das Ablegen einer unsicheren Datei (gefälschte „vcruntime140.dll“) im OneDrive-Verzeichnis ermöglichten.

WhiskerSpy verfügt über eine umfangreiche Liste bedrohlicher Funktionen

WhiskerSpy ist die letzte Nutzlast, die im Rahmen der Earth Kitsune-Angriffskampagne eingesetzt wird. Die Hintertür bietet Remote-Operatoren verschiedene Funktionen, wie z. B. eine interaktive Shell, die Möglichkeit, Dateien herunterzuladen, hochzuladen und zu löschen, Dateien aufzulisten, Screenshots zu machen, ausführbare Dateien zu laden und Shellcode in einen Prozess einzufügen.

Um die Kommunikation mit dem Command-and-Control-Server (C2, C&C) aufrechtzuerhalten, verwendet WhiskerSpy einen 16-Byte-AES-Schlüssel zur Verschlüsselung. Die Hintertür verbindet sich regelmäßig mit dem C2-Server, um Aktualisierungen über seinen Status zu erhalten, und der Server kann mit Anweisungen für die Malware antworten, z. B. das Ausführen von Shell-Befehlen, das Einfügen von Code in einen anderen Prozess, das Exfiltrieren bestimmter Dateien oder das Erstellen von Screenshots.

Forscher haben eine frühere Version von WhiskerSpy entdeckt, die das FTP-Protokoll anstelle von HTTP für die C2-Kommunikation verwendet. Diese ältere Variante überprüfte bei der Ausführung auch das Vorhandensein eines Debuggers und teilte dem C2 den entsprechenden Statuscode mit. Diese Ergebnisse unterstreichen die ständige Weiterentwicklung von Malware, während Angreifer ihre Tools und Techniken anpassen und verfeinern, um der Erkennung zu entgehen und ihre Effektivität zu steigern. Sie betont die Notwendigkeit robuster und aktueller Sicherheitsmaßnahmen zum Schutz vor solchen Bedrohungen.