Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Porta posterior HttpTroy

Porta posterior HttpTroy

El Mezo el Programari maliciós, Portes del darrere
Traduir a:

S'ha vist un actor vinculat a Corea del Nord, rastrejat com a Kimsuky, llançant una porta del darrere inèdita, rastrejada com a "HttpTroy", contra un únic objectiu a Corea del Sud. La revelació no incloïa una cronologia, però els investigadors informen que la intrusió va començar amb un paquet de phishing acuradament elaborat que suplantava una factura de VPN per enganyar la víctima perquè obrís l'arxiu maliciós.

Lliurament i execució inicial

La infecció va començar amb un arxiu ZIP que es feia passar per una factura d'equips VPN. A l'interior hi havia un fitxer SCR de Windows que, en executar-se, iniciava una cadena d'execució automatitzada de tres etapes. La primera etapa és un petit dropper implementat com a binari Golang. Aquest dropper conté tres recursos integrats, un dels quals és un PDF benigne que es mostra a l'usuari com a esquer, de manera que l'activitat maliciosa passa desapercebuda en segon pla.

La cadena d'execució

  • Petit comptagotes Golang (conté un PDF esquer incrustat i altres càrregues útils)
  • Component del carregador anomenat MemLoad
  • La porta del darrere final de la DLL anomenada HttpTroy

Persistència i comportament del carregador

El carregador, MemLoad, s'executa simultàniament amb el dropper i gestiona la persistència i el desplegament de la càrrega útil. Crea una tasca programada anomenada "AhnlabUpdate" —un intent evident d'imitar AhnLab per reduir les sospites— i utilitza aquesta tasca per garantir que la porta del darrere es carregui de manera contínua. MemLoad també és responsable de desxifrar i injectar la porta del darrere de la DLL a l'espai del procés de l'amfitrió per a la seva execució.

Capacitats proporcionades per la porta del darrere

  • Pujar i descarregar fitxers arbitraris a/des de l'amfitrió víctima
  • Captura captures de pantalla de l'escriptori
  • Executa ordres amb privilegis elevats i genera shells inverses
  • Carregar i executar executables directament a la memòria (execució sense fitxer)
  • Finalitza processos i elimina traces d'activitat

Comandament i control i comportament de xarxa

HttpTroy es comunica amb el seu controlador a través d'HTTP simple enviant sol·licituds POST a un domini C2 identificat com a load.auraria.org. L'ús d'HTTP POST fa que el trànsit de xarxa es barregi amb el trànsit web normal, tret que s'especifiqui específicament.

Tècniques d’antianàlisi i ofuscació

L'implant utilitza diverses mesures d'ofuscació per capes per frustrar l'anàlisi estàtica i la detecció de signatures. En lloc de codificar els noms i les cadenes de l'API, amaga les crides a l'API mitjançant rutines de hash personalitzades i oculta artefactes textuals amb manipulacions d'estil XOR i SIMD. És important destacar que no reutilitza els mateixos valors hash ni les codificacions de cadenes: el programari maliciós reconstrueix els hash i les cadenes de l'API necessaris sobre la marxa mitjançant diverses operacions aritmètiques i lògiques, cosa que augmenta el cost de l'enginyeria inversa i la creació de signatures.

Atribució i context

Els indicadors de comportament i la selecció de públics alineen l'activitat amb Kimsuky. L'atac sembla ser un atac de spear-phishing dirigit a un destinatari sud-coreà. Els investigadors no van revelar el moment exacte de l'incident.

Conclusió

Per detectar i mitigar possibles infeccions relacionades amb HttpTroy, les organitzacions haurien de supervisar de prop els seus sistemes per detectar qualsevol tasca programada sospitosa, especialment les que es disfressen d'actualitzacions legítimes del proveïdor. Les defenses de xarxa s'han de configurar per identificar i marcar les comunicacions HTTP POST dirigides a dominis externs desconeguts o poc comuns, permetent una inspecció més profunda de les dades transmeses quan sigui possible.

També es recomana als equips de seguretat que restringeixin o bloquegin l'execució de fitxers SCR inesperats i binaris Golang no reconeguts entre els endpoints. A més, la implementació de solucions robustes de protecció d'endpoints capaces d'identificar l'execució de codi en memòria i detectar l'activitat d'injecció de processos anòmala pot reduir significativament el risc de compromís.

Tendència

Més vist

Carregant...