新後門程式WhiskerSpy問世  鎖定瀋陽和名古屋

編譯／鄭智懷

網路安全公司趨勢科技（Trend Micro）指出，新興駭客組織Earth Kitsune在近期針對對北韓有興趣的網路用戶進行水坑攻擊（Watering hole），散播新後門程式WhiskerSpy。

所謂水坑攻擊，意指攻擊者鎖定特定族群─例如本案例中，對北韓展現興趣者，接著透過各種方式在該族群可能會去網站埋伏，先行植入惡意程式，最後等待目標電腦被感染。

趨勢科技發現，攻擊者針對的攻擊對象IP位址僅限制在巴西，以及瀋陽和名古屋三地。研究人員推測，對巴西網路用戶的攻擊活動應該是出於測試的動機，而非真正的目標；瀋陽和名古屋才是真正鎖定的攻擊對象。

在攻擊手法上，Earth Kitsune利用Google Chrome的訊息主機，並在後者安裝了名為Google Chrome Helper的程式，使瀏覽器每次啟動後都能有效的傳輸惡意程式；另一個方法則是利用OneDrive的漏洞，允許在其目錄中儲存惡意檔案。

當受害者進入攻擊者設置好埋伏的網站，並試圖開始觀看影片時，後者預先設置的程式就會要求前者安裝影片解碼器，確保影片能正常撥放。為了避免引起受害者懷疑，攻擊提供的是合法的解碼器安裝程式，只不過在其中加入自動下載後門程式WhiskerSpy的指令。

根據趨勢科技的研究， WhiskerSpy是Earth Kitsune近期攻擊活動主要運用的後門程式，主要功能包含下載、上傳、刪除與列出文件，以及截圖和調出文件並傳送等功能。在資料加密上，該軟體使用16字元的密鑰和C2伺服器執行之。

資料來源：BleepingComputer

瀏覽 852 次