Новая вредоносная программа Whisker Spy, поставляемая через модифицированный установщик кодеков

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 18 Feb 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    972
    Likes Received:
    2,345
    Reputations:
    25
    Исследователи безопасности обнаружили новый бэкдор под названием WhiskerSpy, используемый в кампании относительно нового участника advanced threat под ником Earth Kitsune, известного тем, что нацеливался на лиц, проявляющих интерес к Северной Корее.

    Актер использовал испытанный метод и выбирал жертв среди посетителей сайта, посвященного Северной Корее, - тактика, известная как watering hole attack.

    Новая операция была обнаружена в конце прошлого года исследователями из компании по кибербезопасности Trend Micro, которые отслеживают активность Earth Kitsune с 2019 года.

    Watering hole attack

    По данным Trend Micro, WhiskerSpy был доставлен, когда посетители пытались посмотреть видео на веб-сайте. Злоумышленник скомпрометировал веб-сайт и внедрил вредоносный скрипт, который просил жертву установить видеокодек для запуска носителя.

    Чтобы избежать подозрений, исполнитель угрозы модифицировал законный установщик кодеков таким образом, что в конечном итоге он загрузил "ранее невидимый бэкдор" в систему жертвы.
    [​IMG]
    Исследователи говорят, что субъект угрозы был нацелен только на посетителей веб-сайта с IP-адресами из Шэньяна, Китай; Нагои, Япония; и Бразилии.

    Вполне вероятно, что Бразилия использовалась только для тестирования атаки watering hole с использованием VPN-соединения, а реальными целями были посетители из двух городов Китая и Японии. Соответствующим жертвам будет выдано приведенное ниже поддельное сообщение об ошибке, в котором им будет предложено установить кодек для просмотра видео.
    [​IMG]

    На самом деле кодек представляет собой исполняемый файл MSI, который устанавливает на компьютер жертвы шеллкод, запускающий серию команд PowerShell, которые приводят к развертыванию бэкдора WhiskerSpy.

    Исследователи отмечают, что один из методов сохранения, который Earth Kitsune использовала в этой кампании, злоупотребляет встроенным хостом обмена сообщениями в Google Chrome и устанавливает вредоносное расширение Google Chrome под названием Google Chrome Helper.

    Роль расширения заключается в том, чтобы разрешить выполнение полезной нагрузки при каждом запуске браузера.
    [​IMG]

    Ещё один метод сохранения реализовался через уязвимость OneDrive.

    WhiskerSpy - это основная полезная нагрузка, используемая в последней кампании "Earth Kitsune", предоставляющая удаленным операторам следующие возможности:
    • файл для загрузки интерактивной оболочки
    • загрузить файл
    • удалить файл
    • список файлов
    • сделайте снимок экрана
    • загрузите исполняемый файл и вызовите его экспорт
    • внедрить шелл-код в процесс
    Бэкдор взаимодействует с сервером командования и контроля (C2), используя 16-байтовый ключ AES для шифрования.
    [​IMG]

    Компания Trend Micro также обнаружила более раннюю версию Whiskers, которая использует протокол FTP вместо HTTP для связи C2. Этот более старый вариант также проверяет наличие отладчика при выполнении и сообщает C2 соответствующий код состояния.

    Источник: https://www.bleepingcomputer.com/ne...are-delivered-via-trojanized-codec-installer/
     
Loading...