خبرکاو:

بازیگر تهدید جاسوسی سایبری که به عنوان Earth Kitsune ردیابی می‌شود، مشاهده شده است که در پشتی جدیدی به نام WhiskerSpy را به عنوان بخشی از یک کمپین مهندسی اجتماعی مستقر می‌کند.

Earth Kitsune که حداقل از سال 2019 فعال است، شناخته شده است که عمدتاً افراد علاقه مند به کره شمالی را با بدافزارهای خود توسعه یافته مانند dneSpy و agfSpy هدف قرار می دهد. نفوذهای مستند شده قبلی مستلزم استفاده از حفره های آبی است که از سوء استفاده مرورگر در Google Chrome و اینترنت اکسپلورر برای فعال کردن زنجیره عفونت استفاده می کند.

بر اساس گزارش جدیدی از Trend Micro که هفته گذشته منتشر شد، عامل متمایز کننده در آخرین حملات، تغییر به مهندسی اجتماعی برای فریب کاربران برای بازدید از وب سایت های در معرض خطر مرتبط با کره شمالی است.

این شرکت امنیت سایبری بيان کرد که وب سایت یک سازمان ناشناس طرفدار کره شمالی هک شده و برای توزیع ایمپلنت WhiskerSpy اصلاح شده است. این سازش در پایان سال گذشته کشف شد.

محققان جوزف سی چن و محققان او میگوید : «وقتی یک بازدیدکننده هدفمند سعی می‌کند ویدیوها را در وب‌سایت تماشا کند، یک اسکریپت مخرب که توسط مهاجم تزریق می‌شود، پیامی را نمایش می‌دهد که قربانیان را با خطای کدک ویدیویی مطلع می‌کند تا آنها را ترغیب کند که یک نصب‌کننده کدک تروجانیزه را دانلود و نصب کنند». جارومیر هورجسی گفت.

گفته می‌شود که اسکریپت بمب‌گذاری شده به صفحات ویدیویی وب‌سایت تزریق شده است، و سپس از نصب‌کننده ("Codec-AVC1.msi") برای بارگیری WhiskerSpy استفاده شده است.

اما این حمله همچنین ترفندهای هوشمندانه‌ای را در تلاش برای دور زدن شناسایی نشان می‌دهد. این شامل تحویل اسکریپت مخرب فقط به بازدیدکنندگانی است که آدرس IP آنها با معیارهای خاصی مطابقت دارد -

یک زیرشبکه آدرس IP واقع در Shenyang، چین

یک آدرس IP خاص واقع در ناگویا، ژاپن، و

یک زیرشبکه آدرس IP واقع در برزیل

Trend Micro اشاره کرد که آدرس‌های IP مورد هدف در برزیل متعلق به یک سرویس VPN تجاری است و عامل تهدید ممکن است "از این سرویس VPN برای آزمایش استقرار حملات خود استفاده کرده باشد."

پایداری یا با سوء استفاده از آسیب‌پذیری ربودن پیوند دینامیک کتابخانه (DLL) در OneDrive یا از طریق یک برنامه گفت نی مخرب Google Chrome که از APIهای پیام‌رسان بومی برای اجرای بارگیری هر بار که مرورگر وب راه‌اندازی می‌شود، به دست می‌آید.

دیگر اخبار

آیفون 14 پلاس به علت کمبود تقاضا فعلا تولید نمی‌شود!

درپشتی WhiskerSpy، مانند سایر بدافزارها در نوع خود، دارای قابلیت هایی برای حذف، شمارش، دانلود و آپلود فایل ها، گرفتن اسکرین شات، تزریق کد پوسته، بارگیری فایل های اجرایی دلخواه است.

محققان گفتند: "Earth Kitsune در توانایی های فنی خود مهارت دارند و به طور مداوم در حال توسعه ابزارها، تاکتیک ها و رویه های خود هستند."

زمین یاکو به بخش های دانشگاهی و تحقیقاتی در ژاپن حمله می کند

Earth Kitsune تنها عامل تهدید کننده ای نیست که به دنبال اهداف ژاپنی می رود، زیرا شرکت امنیت سایبری همچنین مجموعه نفوذ دیگری را با نام Earth Yako به سازمان های تحقیقاتی و اتاق های فکر در این کشور مورد حمله قرار می دهد.

این فعالیت که اخیراً در ژانویه 2023 مشاهده شد، ادامه یک کمپین شناخته شده قبلی است که به عنوان عملیات RestyLink شناخته می شود. زیرمجموعه ای از این حملات همچنین نهادهای واقع در تایوان را هدف قرار دادند.

Trend Micro با اشاره به روش عملیات Earth Yako برای "تغییر فعال اهداف و روش‌ها"، گفت: "مجموعه نفوذ ابزارها و بدافزارهای جدیدی را در مدت زمان کوتاهی معرفی کرد و به طور مکرر اهداف حمله خود را تغییر و گسترش داد."

نقطه شروع یک ایمیل فیشینگ نیزه ای است که به عنوان دعوت به رویدادهای عمومی ظاهر می شود. این پیام ها حاوی یک URL مخرب هستند که به یک محموله اشاره می کند که به نوبه خود مسئول بارگیری بدافزار بر روی سیستم است.

این حملات همچنین با مجموعه ای از ابزارهای سفارشی شامل قطره چکان (PULink)، لودر (Dulload، MirrorKey)، مرحله (ShellBox) و درب پشتی (PlugBox، TransBox) مشخص می شوند.

PlugBox، ShellBox، و TransBox، همانطور که از نامشان پیداست، از API های Dropbox برای بازیابی بدافزارهای مرحله بعدی از یک سرور راه دور که در مخزن GitHub به صورت رمزگذاری شده سخت است، استفاده می کنند، دستورات را دریافت می کنند و داده ها را جمع آوری و استخراج می کنند.

منشأ دقیق Earth Yako ناشناخته است، اما Trend Micro بيان کرد که همپوشانی‌های فنی جزئی بین گروه و سایر بازیگران تهدید مانند Darkhotel، APT10 (با نام مستعار Stone Panda) و APT29 (معروف به Cozy Bear یا Nobelium) شناسایی کرده است.

این شرکت گفت: "یکی از ویژگی های حملات هدفمند اخیر این است که آنها به سمت هدف قرار دادن افرادی که در نظر گرفته می شود اقدامات امنیتی نسبتا ضعیفی در مقایسه با شرکت ها و سایر سازمان ها دارند، تغییر داده شود."

"این تغییر به سمت هدف قرار دادن افراد بر شرکت ها با هدف قرار دادن و سوء استفاده از Dropbox برجسته می شود، زیرا این سرویس به عنوان یک سرویس محبوب در منطقه در بین کاربران برای استفاده شخصی در نظر گرفته می شود، اما نه برای سازمان ها."

خبرکاو