Güvenlik araştırmacıları, Kuzey Kore'ye ilgi gösteren bireyleri hedeflediği için bilinen, Earth Kitsune olarak izlenen nispeten yeni bir gelişmiş tehdit oyuncusundan bir kampanyada kullanılan Whiskerspy adlı yeni bir arka kapı keşfetti.
Oyuncu denenmiş ve test edilmiş bir yöntem kullandı ve ziyaretçilerden kurbanları sulama deliği saldırısı olarak bilinen bir taktik olan profesyonel bir Kuzey Kore web sitesine seçti.
Yeni operasyon, geçen yılın sonunda 2019'dan beri Earth Kitsune etkinliğini izleyen Cybersecurity Company Trend Micro'daki araştırmacılar tarafından keşfedildi.
Trend Micro'ya göre, ziyaretçiler web sitesinde video izlemeye çalıştığında Whiskerspy teslim edildi. Saldırgan web sitesini tehlikeye attı ve kurbandan medyanın çalışması için bir video kodek yüklemesini isteyen kötü niyetli bir senaryo enjekte etti.
Şüphelerden kaçınmak için, tehdit oyuncusu meşru bir kodlayıcı yükleyicisini, nihayetinde kurbanın sistemine "daha önce görünmeyen bir arka kapı" yükleyecek şekilde değiştirdi.
Araştırmacılar, tehdit oyuncusunun sadece Shenyang, Çin'den IP adresleri olan web sitesine ziyaretçileri hedeflediğini; Nagoya, Japonya; ve Brezilya.
Brezilya'nın sadece bir VPN bağlantısı kullanarak sulama deliği saldırısını test etmek için kullanılması ve gerçek hedefler Çin ve Japonya'daki iki şehirden ziyaretçilerdi. İlgili kurbanlara, videoyu izlemek için bir codec yüklemelerini isteyen sahte hata mesajı sunulacaktır.
Gerçekte, Codec, kurbanın bilgisayar kabuk koduna yükleyen bir MSI yürütülebilir dosyasıdır ve bu da Whiskerspy arka kapısını dağıtmaya yol açan bir seri PowerShell komutlarını tetikler.
Araştırmacılar, Earth Kitsune'nin bu kampanyada kullandığı bir kalıcılık tekniğinin Google Chrome'daki yerel mesajlaşma sunucusunu kötüye kullandığını ve Google Chrome Helper adlı kötü niyetli bir Google Chrome uzantısı yüklediğini belirtiyor.
Uzatmanın rolü, tarayıcı her başladığında yükün yürütülmesine izin vermektir.
Kalıcılık elde etmenin diğer yöntemi, onedrive dizininde kötü amaçlı bir dosyanın (sahte “vcruntime140.dll”) bırakılmasına izin veren onedrive yan yükleme güvenlik açıklarından yararlanmaktır.
Whiskerspy, en son 'Earth Kitsune' kampanyasında kullanılan ana yüktür ve uzak operatörlere aşağıdaki özellikleri sunar:
Arka kapı, şifreleme için 16 bayt AES anahtarı kullanarak komut ve kontrol (C2) sunucusu ile iletişim kurar.
Whiskerspy, durumuyla ilgili güncellemeler için periyodik olarak C2'ye bağlanır ve sunucu, kabuk komutlarını yürütme, başka bir işleme kodu enjekte etmek, belirli dosyaları dışarı atmak, ekran görüntüleri alın gibi kötü amaçlı yazılım talimatlarıyla yanıt verebilir.
Trend Micro, C2 iletişimi için HTTP yerine FTP protokolünü kullanan Whiskerspy'nin daha önceki bir sürümünü keşfetti. Bu eski varyant ayrıca yürütme üzerine bir hata ayıklayıcının varlığını kontrol eder ve C2'yi uygun durum kodu ile bilgilendirir.
Dikkat etmek için, araştırmacıların bu sulama deliği saldırısını Dünya Kitsune'ye atfetme konusundaki güveni orta, ancak modus operandi ve hedefler daha önce grupla ilişkili faaliyetlere benzer.
Redeyes hacker'ları Windows, telefonlardan veri çalmak için yeni kötü amaçlı yazılım kullanıyor
Kuzey Koreli bilgisayar korsanları iki aylık ihlalde araştırma verilerini çaldı
Lazarus hackerları çalınan kriptoyu 100 milyon dolarlık gizlemek için yeni hizmet kullanıyor
Yeni Stealc kötü amaçlı yazılım, çok çeşitli çalma özellikleriyle ortaya çıkıyor
Norveç Polisi Massive Axie Infinity Hack'ten 5,8 milyon $ kripto kurtardı
Kaynak: Bleeping Computer