WhiskerSpy Backdoor IOCs

security IOC

TrendMicro обнаружили новый бэкдор, который приписали продвинутому агенту постоянных угроз, известному как Earth Kitsune. С 2019 года Earth Kitsune распространяет варианты самостоятельно разработанных бэкдоров среди целей, в первую очередь среди лиц, интересующихся Северной Кореей.

Во многих случаях, угрожающий агент использовал тактику "водяной скважины", компрометируя веб-сайты, связанные с Северной Кореей, и внедряя в них браузерные эксплойты. В последней активности, которую мы здесь анализируем, Earth Kitsune использовал аналогичную тактику, но вместо использования браузерных эксплойтов применил социальную инженерию.

В конце 2022 года TrendMicro обнаружили, что сайт просеверокорейской организации был взломан и модифицирован для распространения вредоносного ПО. Когда целевой посетитель пытается посмотреть видео на сайте, вредоносный скрипт, внедренный злоумышленником, выводит на экран сообщение с ошибкой видеокодека, чтобы убедить жертву загрузить и установить троянский установщик кодека. Установщик был исправлен и загружал ранее невидимый бэкдор, который мы окрестили "WhiskerSpy". Кроме того, TrendMicro обнаружили, что угрожающий субъект использует интересную технику сохранения, которая злоупотребляет встроенным в Google Chrome узлом обмена сообщениями.

Старые версии WhiskerSpy являются 32-битными исполняемыми файлами.

Связь осуществляется не по протоколу HTTP, а по протоколу FTP. Это означает, что имя и пароль FTP должны быть жестко закодированы в бинарном файле для обеспечения связи. При таком подходе текущее число жертв передается в виде файлов l<machineID><sessionID> и h<machineID>, которые видны любому, кто знает учетные данные.

FTP-версия бэкдора также проверяет наличие отладчика. Если он присутствует, на C&C-сервер отправляется код состояния "HELO>".

Эта угроза очень интересна с технической точки зрения. Она патчит легитимные программы установки, чтобы скрыть свою деятельность, использует малоизвестные алгоритмы хэширования для вычисления идентификаторов машин и идентификаторов сессий и применяет ECC для защиты ключей шифрования. Кроме того, представленные методы стойкости также довольно уникальны и редки. Это свидетельствует о том, что Earth Kitsune владеют своими техническими возможностями и постоянно совершенствуют свои инструменты, тактику и процедуры TTP.

Indicators of Compromise

Domains

  • chromecast.hopto.org
  • florida.serveblog.net
  • googlemap.hopto.org
  • googlemap.serveblog.net
  • liveupdate.servepics.com
  • londoncity.hopto.org
  • microsoftwindow.sytes.net
  • rs.myftp.biz
  • selectorioi.ddns.net
  • updategoogle.servehttp.com
  • windowsupdate.sytes.net

SHA256

  • 076ba1135b2f9f4dbc38e306dc533af71b311c1dc98788c18253448fca096c46
  • 1c24d9013b3eae373fc28d40f9e475e1dd22c228e8f1e539ed9229e21807839d
  • 20c214d58ccfb5ad797f1a02667078d182629ac7e157162566c123519e039d55
  • 371cfa10a7262438e5bc0694ba5628eb21e044dc8173710df51826dafa11e300
  • 3d4107c738b46f75c5b1b88ef06f82a5779ddd830527c9becc951080a5491f13
  • 3d62e122e31d7929e76633773d752b8bee31462bb79cb5b8b7c6952341e93482
  • 66c8e0acfe030c4eec474cd75c4d831601dae3ef4e1cef78b624de3c346c186d
  • 6f0a0ac477c73c2533a39cb3d8fbf45365761d11b7368460964a4572e91c5fcb
  • 7365f661ad9e558fdd668d3563e0a1b85ccf1a543be51cb942db508f9ccbcf5e
  • 84e9bcc055225bd50534147e355834325b97ad948c3a10d792928b48c56c1712
  • 902902b5457c6945c2b3878521d23d05d448de179d19761c718fb67c15a4bcc0
  • c357e572dd7c618c54f8333313266a8a9cf07c1038d6b2f711cdbae714bc2654
  • c78cb41f4fb4e5f5476eb2c1414f138643494c2b8abe2cf539fafc54199e2aef
  • ce7016067c97421e3050fa8bd7f1950e0707e6deeac20003f5f30f1c58f435bc
  • e01399d47cda45f1af496fa460f20620a5b08c39714875fe292a5fc3d1c7a215
  • effa1ae32dbcf6bc64a5025bca4f4c41572439b69edd58b5f78952a407ceb5df
  • fbac7b40a12970cdcc36f48945beb83bf9461f14c59cb8106ad8e43e5d22a970
SEC-1275-1
Добавить комментарий