WhiskerSpy Backdoor

Les chercheurs en cybersécurité ont découvert une nouvelle porte dérobée connue sous le nom de WhiskerSpy, qui a été déployée par un groupe d'acteurs menaçants relativement nouveau mais avancé nommé Earth Kitsune. Ce groupe est devenu bien connu pour cibler les personnes qui ont manifesté un intérêt pour la Corée du Nord.

Pour exécuter leur attaque, le groupe Earth Kitsune a utilisé une méthode connue sous le nom d'attaque par point d'eau, qui est une tactique éprouvée et efficace pour accéder au système d'une cible. Dans cette attaque, les acteurs de la menace identifient un site Web fréquemment visité par leur public cible et l'infectent avec des logiciels malveillants qui leur permettent d'accéder aux appareils des visiteurs lorsqu'ils visitent le site. Dans ce cas précis, le site Web qui a été compromis est un site Web pro-Corée du Nord, qui est fréquemment visité par des personnes intéressées par le pays.

Les chercheurs en sécurité surveillent les activités de Earth Kitsune depuis 2019 et ont découvert cette dernière campagne vers la fin de l'année précédente. Cette découverte est importante, car elle met en évidence le fait que même les acteurs de la menace relativement nouveaux deviennent de plus en plus avancés et constituent une menace importante pour les individus et les organisations.

L'infection WhiskerSpy utilise une tactique d'attaque de point d'eau

La porte dérobée WhiskerSpy est livrée aux visiteurs qui tentent de regarder des vidéos sur un site Web compromis. L'attaquant a injecté un script corrompu dans le site Web, qui invite les visiteurs à installer un codec vidéo censé être nécessaire pour exécuter le contenu vidéo affiché. Pour éviter d'être détecté, l'attaquant a modifié un programme d'installation de codec légitime afin qu'il charge finalement une porte dérobée auparavant invisible sur le système de la victime.

Selon les chercheurs, les acteurs de la menace ne ciblaient que les visiteurs du site Web qui avaient des adresses IP de Shenyang, de Chine, de Nagoya, du Japon et du Brésil. On soupçonne que le Brésil a été utilisé pour tester l'attaque du point d'eau à l'aide d'une connexion VPN, et les véritables cibles étaient les visiteurs des deux villes de Chine et du Japon. Les victimes concernées recevaient un faux message d'erreur les invitant à installer un codec pour regarder la vidéo. Cependant, le codec était en réalité un exécutable MSI qui installait un shellcode sur l'ordinateur de la victime, déclenchant une série de commandes PowerShell qui ont finalement déployé la porte dérobée WhiskerSpy.

Dans cette campagne, Earth Kitsune a utilisé plusieurs techniques de persistance pour ne pas être détecté. L'une de ces méthodes consiste à abuser de l'hôte de messagerie natif de Google Chrome, qui avait installé une extension Google Chrome compromise appelée Google Chrome Helper. L'extension permettait l'exécution de la charge utile à chaque démarrage du navigateur. Une autre technique utilisée exploite les vulnérabilités de chargement latéral de OneDrive, qui ont permis la suppression d'un fichier dangereux (faux 'vcruntime140.dll') dans le répertoire OneDrive.

WhiskerSpy a une longue liste de fonctionnalités menaçantes

WhiskerSpy est la dernière charge utile déployée dans le cadre de la campagne d'attaque Earth Kitsune. La porte dérobée offre aux opérateurs distants diverses fonctionnalités, telles qu'un shell interactif, la possibilité de télécharger, de télécharger et de supprimer des fichiers, de répertorier les fichiers, de prendre des captures d'écran, de charger des exécutables et d'injecter du shellcode dans un processus.

Pour maintenir la communication avec le serveur de commande et de contrôle (C2, C&C), WhiskerSpy utilise une clé AES de 16 octets pour le cryptage. La porte dérobée se connecte périodiquement au serveur C2 pour recevoir des mises à jour sur son état, et le serveur peut répondre avec des instructions pour le logiciel malveillant, telles que l'exécution de commandes shell, l'injection de code dans un autre processus, l'exfiltration de fichiers spécifiques ou la prise de captures d'écran.

Les chercheurs ont découvert une version antérieure de WhiskerSpy qui utilisait le protocole FTP au lieu de HTTP pour la communication C2. Cette ancienne variante vérifiait également la présence d'un débogueur lors de l'exécution et informait le C2 du code d'état approprié. Ces résultats mettent en évidence l'évolution constante des logiciels malveillants à mesure que les attaquants adaptent et affinent leurs outils et techniques pour échapper à la détection et accroître leur efficacité. Il souligne la nécessité de mesures de sécurité robustes et à jour pour se protéger contre de telles menaces.