Новая вредоносная программа Whisker Spy, поставляемая через модифицированный установщик кодеков

Исследователи безопасности обнаружили новый бэкдор под названием WhiskerSpy, используемый в кампании относительно нового участника advanced threat под ником Earth Kitsune, известного тем, что нацеливался на лиц, проявляющих интерес к Северной Корее.

Актер использовал испытанный метод и выбирал жертв среди посетителей сайта, посвященного Северной Корее, - тактика, известная как watering hole attack.

Новая операция была обнаружена в конце прошлого года исследователями из компании по кибербезопасности Trend Micro, которые отслеживают активность Earth Kitsune с 2019 года.

Watering hole attack

По данным Trend Micro, WhiskerSpy был доставлен, когда посетители пытались посмотреть видео на веб-сайте. Злоумышленник скомпрометировал веб-сайт и внедрил вредоносный скрипт, который просил жертву установить видеокодек для запуска носителя.

Чтобы избежать подозрений, исполнитель угрозы модифицировал законный установщик кодеков таким образом, что в конечном итоге он загрузил "ранее невидимый бэкдор" в систему жертвы.

Исследователи говорят, что субъект угрозы был нацелен только на посетителей веб-сайта с IP-адресами из Шэньяна, Китай; Нагои, Япония; и Бразилии.

Вполне вероятно, что Бразилия использовалась только для тестирования атаки watering hole с использованием VPN-соединения, а реальными целями были посетители из двух городов Китая и Японии. Соответствующим жертвам будет выдано приведенное ниже поддельное сообщение об ошибке, в котором им будет предложено установить кодек для просмотра видео.


На самом деле кодек представляет собой исполняемый файл MSI, который устанавливает на компьютер жертвы шеллкод, запускающий серию команд PowerShell, которые приводят к развертыванию бэкдора WhiskerSpy.

Исследователи отмечают, что один из методов сохранения, который Earth Kitsune использовала в этой кампании, злоупотребляет встроенным хостом обмена сообщениями в Google Chrome и устанавливает вредоносное расширение Google Chrome под названием Google Chrome Helper.

Роль расширения заключается в том, чтобы разрешить выполнение полезной нагрузки при каждом запуске браузера.


Ещё один метод сохранения реализовался через уязвимость OneDrive.

WhiskerSpy - это основная полезная нагрузка, используемая в последней кампании "Earth Kitsune", предоставляющая удаленным операторам следующие возможности:

• файл для загрузки интерактивной оболочки
• загрузить файл
• удалить файл
• список файлов
• сделайте снимок экрана
  
• загрузите исполняемый файл и вызовите его экспорт
• внедрить шелл-код в процесс

Бэкдор взаимодействует с сервером командования и контроля (C2), используя 16-байтовый ключ AES для шифрования.


Компания Trend Micro также обнаружила более раннюю версию Whiskers, которая использует протокол FTP вместо HTTP для связи C2. Этот более старый вариант также проверяет наличие отладчика при выполнении и сообщает C2 соответствующий код состояния.

Источник: https://www.bleepingcomputer.com/ne...are-delivered-via-trojanized-codec-installer/