新型 WhiskerSpy 恶意软件通过木马编码器托管攻击传播

关键点摘要

• 攻击者 ：Earth Kitsune，一个高级持续威胁（APT）组织。
• 攻击方式 ：通过浇水洞攻击 施放新型 WhiskerSpy 后门。
• 目标网站 ：被攻陷的亲北朝鲜网站。
• 受害者 ：主要针对来自日本名古屋、中国沈阳和巴西的用户。
• 恶意功能 ：包括交互式Shell、文件下载与上传、屏幕截图、可执行文件加载等。
• 持久性机制 ：利用 Google Chrome 的原生消息主机安装恶意扩展。

根据 的报道，先进的持续威胁组织
Earth Kitsune 已启动了一次专注于传播新型 WhiskerSpy 后门的浇水洞攻击 。据 Trend Micro报告，这一组织利用一个亲北朝鲜的网站来传递 WhiskerSpy恶意软件，要求用户在观看网站视频前安装一个视频编码器。值得注意的是，这个网站仅将来自日本名古屋、中国沈阳和巴西的访客视为主要目标，研究人员认为巴西可能被用来进行浇水洞攻击的测试。

WhiskerSpy 的恶意功能

WhiskerSpy 使攻击者能够执行以下操作：

功能 | 描述
—|—
交互式Shell | 攻击者可以与受感染系统进行交互。
文件下载与上传 | 可以下载和上传文件至目标计算机。
文件删除与列出 | 删除文件并列出目标系统中的文件。
屏幕截图 | 捕获和窃取受害者的屏幕内容。
可执行文件加载 | 加载和执行其他恶意程序。
Shellcode 注入 | 注入代码以控制系统或获取更高权限。

在持续性方面，此后门通过利用 Google Chrome 的原生消息主机来安装恶意的 Google Chrome Helper扩展。首先在最新攻击中观察到的 WhiskerSpy 后门通过 HTTP 与指挥与控制服务器进行通信，而早期版本则利用 FTP 协议进行交互。

该攻击方式及 WhiskerSpy 后门的活跃性进一步表明了网络攻击者利用知名应用程序与工具进行攻击的趋势，网络用户需加强警惕，确保自身网络安全。