新後門程式WhiskerSpy問世 鎖定瀋陽和名古屋
編譯/鄭智懷
網路安全公司趨勢科技(Trend Micro)指出,新興駭客組織Earth Kitsune在近期針對對北韓有興趣的網路用戶進行水坑攻擊(Watering hole),散播新後門程式WhiskerSpy。
所謂水坑攻擊,意指攻擊者鎖定特定族群─例如本案例中,對北韓展現興趣者,接著透過各種方式在該族群可能會去網站埋伏,先行植入惡意程式,最後等待目標電腦被感染。
趨勢科技發現,攻擊者針對的攻擊對象IP位址僅限制在巴西,以及瀋陽和名古屋三地。研究人員推測,對巴西網路用戶的攻擊活動應該是出於測試的動機,而非真正的目標;瀋陽和名古屋才是真正鎖定的攻擊對象。
在攻擊手法上,Earth Kitsune利用Google Chrome的訊息主機,並在後者安裝了名為Google Chrome Helper的程式,使瀏覽器每次啟動後都能有效的傳輸惡意程式;另一個方法則是利用OneDrive的漏洞,允許在其目錄中儲存惡意檔案。
當受害者進入攻擊者設置好埋伏的網站,並試圖開始觀看影片時,後者預先設置的程式就會要求前者安裝影片解碼器,確保影片能正常撥放。為了避免引起受害者懷疑,攻擊提供的是合法的解碼器安裝程式,只不過在其中加入自動下載後門程式WhiskerSpy的指令。
根據趨勢科技的研究, WhiskerSpy是Earth Kitsune近期攻擊活動主要運用的後門程式,主要功能包含下載、上傳、刪除與列出文件,以及截圖和調出文件並傳送等功能。在資料加密上,該軟體使用16字元的密鑰和C2伺服器執行之。
資料來源:BleepingComputer
瀏覽 931 次