TrendMicro обнаружили новый бэкдор, который приписали продвинутому агенту постоянных угроз, известному как Earth Kitsune. С 2019 года Earth Kitsune распространяет варианты самостоятельно разработанных бэкдоров среди целей, в первую очередь среди лиц, интересующихся Северной Кореей.
Во многих случаях, угрожающий агент использовал тактику "водяной скважины", компрометируя веб-сайты, связанные с Северной Кореей, и внедряя в них браузерные эксплойты. В последней активности, которую мы здесь анализируем, Earth Kitsune использовал аналогичную тактику, но вместо использования браузерных эксплойтов применил социальную инженерию.
В конце 2022 года TrendMicro обнаружили, что сайт просеверокорейской организации был взломан и модифицирован для распространения вредоносного ПО. Когда целевой посетитель пытается посмотреть видео на сайте, вредоносный скрипт, внедренный злоумышленником, выводит на экран сообщение с ошибкой видеокодека, чтобы убедить жертву загрузить и установить троянский установщик кодека. Установщик был исправлен и загружал ранее невидимый бэкдор, который мы окрестили "WhiskerSpy". Кроме того, TrendMicro обнаружили, что угрожающий субъект использует интересную технику сохранения, которая злоупотребляет встроенным в Google Chrome узлом обмена сообщениями.
Старые версии WhiskerSpy являются 32-битными исполняемыми файлами.
Связь осуществляется не по протоколу HTTP, а по протоколу FTP. Это означает, что имя и пароль FTP должны быть жестко закодированы в бинарном файле для обеспечения связи. При таком подходе текущее число жертв передается в виде файлов l<machineID><sessionID> и h<machineID>, которые видны любому, кто знает учетные данные.
FTP-версия бэкдора также проверяет наличие отладчика. Если он присутствует, на C&C-сервер отправляется код состояния "HELO>".
Эта угроза очень интересна с технической точки зрения. Она патчит легитимные программы установки, чтобы скрыть свою деятельность, использует малоизвестные алгоритмы хэширования для вычисления идентификаторов машин и идентификаторов сессий и применяет ECC для защиты ключей шифрования. Кроме того, представленные методы стойкости также довольно уникальны и редки. Это свидетельствует о том, что Earth Kitsune владеют своими техническими возможностями и постоянно совершенствуют свои инструменты, тактику и процедуры TTP.
Indicators of Compromise
Domains
- chromecast.hopto.org
- florida.serveblog.net
- googlemap.hopto.org
- googlemap.serveblog.net
- liveupdate.servepics.com
- londoncity.hopto.org
- microsoftwindow.sytes.net
- rs.myftp.biz
- selectorioi.ddns.net
- updategoogle.servehttp.com
- windowsupdate.sytes.net
SHA256
- 076ba1135b2f9f4dbc38e306dc533af71b311c1dc98788c18253448fca096c46
- 1c24d9013b3eae373fc28d40f9e475e1dd22c228e8f1e539ed9229e21807839d
- 20c214d58ccfb5ad797f1a02667078d182629ac7e157162566c123519e039d55
- 371cfa10a7262438e5bc0694ba5628eb21e044dc8173710df51826dafa11e300
- 3d4107c738b46f75c5b1b88ef06f82a5779ddd830527c9becc951080a5491f13
- 3d62e122e31d7929e76633773d752b8bee31462bb79cb5b8b7c6952341e93482
- 66c8e0acfe030c4eec474cd75c4d831601dae3ef4e1cef78b624de3c346c186d
- 6f0a0ac477c73c2533a39cb3d8fbf45365761d11b7368460964a4572e91c5fcb
- 7365f661ad9e558fdd668d3563e0a1b85ccf1a543be51cb942db508f9ccbcf5e
- 84e9bcc055225bd50534147e355834325b97ad948c3a10d792928b48c56c1712
- 902902b5457c6945c2b3878521d23d05d448de179d19761c718fb67c15a4bcc0
- c357e572dd7c618c54f8333313266a8a9cf07c1038d6b2f711cdbae714bc2654
- c78cb41f4fb4e5f5476eb2c1414f138643494c2b8abe2cf539fafc54199e2aef
- ce7016067c97421e3050fa8bd7f1950e0707e6deeac20003f5f30f1c58f435bc
- e01399d47cda45f1af496fa460f20620a5b08c39714875fe292a5fc3d1c7a215
- effa1ae32dbcf6bc64a5025bca4f4c41572439b69edd58b5f78952a407ceb5df
- fbac7b40a12970cdcc36f48945beb83bf9461f14c59cb8106ad8e43e5d22a970