باب خلفي لـ HttpTroy
لوحظ وجود جهة فاعلة مرتبطة بكوريا الشمالية، تُعرف باسم كيمسوكي، وهي تُدخل برمجية خبيثة لم تُكتشف من قبل، تُعرف باسم "HttpTroy"، ضد هدف واحد في كوريا الجنوبية. لم يُحدد الإفصاح أي جدول زمني، لكن الباحثين أفادوا بأن عملية الاختراق بدأت بحزمة تصيد احتيالي مُصممة بعناية، انتحلت صفة فاتورة شبكة افتراضية خاصة (VPN) لخداع الضحية لفتح الأرشيف الخبيث.
جدول المحتويات
التسليم والتنفيذ الأولي
بدأت العدوى بملف ZIP ينتحل صفة فاتورة لمعدات VPN. كان بداخله ملف Windows SCR، وعند تنفيذه، أطلق سلسلة تنفيذ آلية من ثلاث مراحل. المرحلة الأولى هي أداة صغيرة لنقل البيانات (Drop) مُنفذة كملف ثنائي بلغة Golang. تحمل هذه الأداة ثلاثة موارد مُضمنة، أحدها ملف PDF غير ضار يُعرض للمستخدم كطُعم، مما يُمكّن النشاط الخبيث من العمل دون أن يُلاحظه أحد.
سلسلة الإعدام
- قطارة Golang صغيرة (تحتوي على ملف PDF وهمي مدمج وحمولات أخرى)
- مكون المحمل المسمى MemLoad
- الباب الخلفي DLL النهائي المسمى HttpTroy
الاستمرارية وسلوك المحمل
يعمل المُحمِّل MemLoad بالتزامن مع المُرسِل، ويتولى مسؤولية الاستمرارية ونشر الحمولة. يُنشئ مهمة مُجدولة باسم "AhnlabUpdate" - في محاولة واضحة لمحاكاة AhnLab لتقليل الشكوك - ويستخدم هذه المهمة لضمان تحميل الباب الخلفي باستمرار. MemLoad مسؤول أيضًا عن فك تشفير الباب الخلفي DLL وحقنه في مساحة عملية المُضيف للتنفيذ.
القدرات التي يوفرها الباب الخلفي
- تحميل وتنزيل ملفات عشوائية من/إلى المضيف الضحية
- التقاط لقطات شاشة لسطح المكتب
- تنفيذ الأوامر بامتيازات مرتفعة وإنشاء قذائف عكسية
- تحميل وتشغيل الملفات القابلة للتنفيذ مباشرة في الذاكرة (تنفيذ بدون ملفات)
- إنهاء العمليات وإزالة آثار النشاط
القيادة والتحكم وسلوك الشبكة
يتواصل HttpTroy مع وحدة التحكم الخاصة به عبر HTTP العادي بإرسال طلبات POST إلى نطاق C2 المُعرَّف باسم load.auraria.org. يؤدي استخدام HTTP POST إلى اختلاط حركة مرور الشبكة بحركة مرور الويب العادية ما لم يتم تحديد ملف تعريف محدد.
تقنيات التحليل المضاد والتعتيم
يستخدم هذا الزرع عدة إجراءات تعتيم متعددة الطبقات لإحباط التحليل الثابت وكشف التوقيعات. فبدلاً من ترميز أسماء وسلاسل واجهات برمجة التطبيقات (APIs) بشكل ثابت، يُخفي استدعاءات API عبر إجراءات تجزئة مخصصة، ويُخفي آثار النصوص باستخدام معالجات XOR وSIMD. والأهم من ذلك، أنه لا يُعيد استخدام نفس قيم التجزئة أو ترميزات السلاسل النصية، بل يُعيد بناء تجزئات وسلاسل API المطلوبة فورًا باستخدام عمليات حسابية ومنطقية مُتنوعة، مما يزيد من تكلفة الهندسة العكسية وإنشاء التوقيعات.
الإسناد والسياق
تشير المؤشرات السلوكية والاستهداف إلى ارتباط النشاط بـ Kimsuky. يبدو أن الهجوم عبارة عن عملية تصيد احتيالي موجهة تستهدف متلقيًا من كوريا الجنوبية. لم يُفصح الباحثون عن التوقيت الدقيق للحادثة.
خاتمة
للكشف عن الإصابات المحتملة بفيروس HttpTroy والحد منها، ينبغي على المؤسسات مراقبة أنظمتها عن كثب بحثًا عن أي مهام مجدولة مشبوهة، وخاصةً تلك التي تتخفى في صورة تحديثات رسمية من الموردين. يجب تهيئة دفاعات الشبكة لتحديد وإبلاغ اتصالات HTTP POST الموجهة إلى نطاقات خارجية غير معروفة أو نادرة، مما يسمح بفحص أعمق للبيانات المرسلة كلما أمكن.
يُنصح فرق الأمن أيضًا بتقييد أو حظر تنفيذ ملفات SCR غير المتوقعة وملفات Golang الثنائية غير المعروفة عبر نقاط النهاية. بالإضافة إلى ذلك، فإن نشر حلول حماية قوية لنقاط النهاية، قادرة على تحديد تنفيذ التعليمات البرمجية في الذاكرة واكتشاف نشاط حقن العمليات غير الطبيعي، يمكن أن يقلل بشكل كبير من خطر التعرض للاختراق.
