Peneliti keamanan telah menemukan pintu belakang baru yang disebut WhiskerSpy yang digunakan dalam kampanye dari aktor ancaman tingkat lanjut yang relatif baru dilacak sebagai Earth Kitsune, yang dikenal menargetkan individu yang menunjukkan minat di Korea Utara.
Aktor tersebut menggunakan metode yang telah dicoba dan diuji dan mengambil korban dari pengunjung situs web pro Korea Utara, sebuah taktik yang dikenal sebagai serangan lubang berair.
Operasi baru ini ditemukan pada akhir tahun lalu oleh para peneliti di perusahaan cybersecurity Trend Micro, yang telah melacak aktivitas Earth Kitsune sejak 2019.
Serangan lubang air
Menurut Trend Micro, WhiskerSpy disampaikan saat pengunjung mencoba menonton video di website. Penyerang mengkompromikan situs web dan menyuntikkan skrip jahat yang meminta korban untuk memasang codec video agar media dapat dijalankan.
Untuk menghindari kecurigaan, aktor ancaman memodifikasi penginstal codec yang sah sehingga pada akhirnya memuat “pintu belakang yang sebelumnya tidak terlihat” pada sistem korban.
sumber: Trend Micro
Para peneliti mengatakan bahwa pelaku ancaman hanya menargetkan pengunjung situs web dengan alamat IP dari Shenyang, China; Nagoya, Jepang; dan Brasil.
Kemungkinan Brasil hanya digunakan untuk menguji serangan lubang air menggunakan koneksi VPN dan target sebenarnya adalah pengunjung dari dua kota di China dan Jepang. Korban yang relevan akan disajikan pesan kesalahan palsu di bawah ini yang meminta mereka memasang codec untuk menonton video.
Pada kenyataannya, codec tersebut adalah MSI executable yang diinstal pada shellcode komputer korban yang memicu serangkaian perintah PowerShell yang mengarah pada penggelaran pintu belakang WhiskerSpy.
Itu catatan peneliti bahwa salah satu teknik kegigihan yang digunakan Earth Kitsune dalam kampanye ini menyalahgunakan host perpesanan asli di Google Chrome dan memasang ekstensi Google Chrome berbahaya yang disebut Pembantu Google Chrome.
Peran ekstensi adalah untuk mengizinkan eksekusi muatan setiap kali browser dimulai.
Metode lain untuk mencapai persistensi adalah dengan memanfaatkan kerentanan pemuatan samping OneDrive yang memungkinkan menjatuhkan file berbahaya (“vcruntime140.dll” palsu) di direktori OneDrive.
Detail WhiskerSpy
WhiskerSpy adalah muatan utama yang digunakan dalam kampanye ‘Earth Kitsune’ terbaru, memberikan kemampuan berikut kepada operator jarak jauh:
- cangkang interaktif
- Unduh berkas
- unggah data
- menghapus berkas
- daftar file
- ambil screenshot
- memuat yang dapat dieksekusi dan memanggil ekspornya
- menyuntikkan kode shell ke dalam suatu proses
Pintu belakang berkomunikasi dengan server perintah dan kontrol (C2) menggunakan kunci AES 16-byte untuk enkripsi.
WhiskerSpy secara berkala terhubung ke C2 untuk pembaruan tentang statusnya dan server dapat merespons dengan instruksi untuk malware, seperti menjalankan perintah shell, menyuntikkan kode ke proses lain, mengekstrak file tertentu, mengambil tangkapan layar.
Trend Micro telah menemukan versi sebelumnya dari WhiskerSpy yang menggunakan protokol FTP alih-alih HTTP untuk komunikasi C2. Varian yang lebih lama ini juga memeriksa keberadaan debugger pada saat eksekusi dan menginformasikan C2 dengan kode status yang sesuai.
Untuk diketahui, kepercayaan para peneliti dalam mengaitkan serangan lubang air ini dengan Earth Kitsune adalah sedang tetapi modus operandi dan targetnya mirip dengan aktivitas. terkait sebelumnya ke grup.
