- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 18м
- Сделки
- 251
- Нарушения
- 0 / 0
Злоумышленники использовали проверенный метод и выбирали жертв среди посетителей сайта, выступающего за Северную Корею. Это тактика также известна под названием «атака на водопой» («watering hole»).
По данным Trend Micro, WhiskerSpy доставлялся на компьютеры жертв, когда те пытались посмотреть видео на самом обыкновенном веб-сайте. Однако ранее данный веб-сайт был взломан злоумышленниками. Они внедрили в его код вредоносный скрипт, который просил жертву установить видеокодек для запуска мультимедиа.
Чтобы избежать подозрений, злоумышленник взял за основу настоящий установщик видеокодека, однако внедрил в него бэкдор WhiskerSpy, который активировался по завершению установки.
Исследователи сообщили, что злоумышленники провели свою атаку только на посетителей веб-сайта с IP-адресами из Китая, Японии и Бразилии. Вполне вероятно, что Бразилия использовалась только для тестирования атаки Watering Hole с использованием VPN-подключения, а реальными целями были посетители из двух городов Китая и Японии. Жертвам было отправлено фейковое сообщение об ошибке, в котором им предлагалось установить кодек для просмотра видео.
Исследователи отмечают, что одна из техник, использованной Earth Kitsune в данной кампании, благодаря которой вредонос закрепляется в системе, использует собственный хост обмена сообщениями в Google Chrome. WhiskerSpy устанавливает в браузер вредоносное расширение Google Chrome Helper. Роль расширения — выполнение полезной нагрузки при каждом запуске браузера.
WhiskerSpy периодически подключается к C2-серверу для получения обновлений о своем статусе. Сервер может отвечать инструкциями для вредоносного ПО, такими как выполнение вредоносных команд, внедрение кода в системные процессы, эксфильтрация данных, создание снимков экрана и т.д.
Следует отметить, что уверенность исследователей в том, что атаку выполнила именно Earth Kitsune, является средней. Однако методы работы и цели были аналогичны таковым в более ранних атаках данной группировки.