HIsoka Malware

Hisoka Malware er en bagdørstrussel indsat i to separate angrebskampagner rettet mod transport- og rederier i Kuwait. Trusselsaktørerne brugte Hisoka sammen med flere andre skræddersyede malware-trusler. Hackerne navngav deres værktøjer efter tegn fra den populære manga- og anime-serie 'Hunter x Hunter' - Sakaboto, Hisoka, Gon, Killua og Netero.

Første gang Hisoka Malware blev opdaget, var malware, der blev droppet på en computer, der tilhører en organisation, der arbejder inden for Kuwaits transport- og skibsfart. Den ødelagte binære blev opkaldt 'inetinfo.sys' og bar en version af Hisoka version 0.8. Gennem Hisoka implementerede trusselsaktørerne to yderligere malware-værktøjer hurtigt - Gon og EYE. Gon er en potent bagdør, der gør det muligt for hackere at uploade og downloade data, køre kommandoer, åbne RDP-forbindelser (Remote Desktop Protocol), tage skærmbilleder, scanne efter åbne porte osv. På den anden side er EYE et oprydningsværktøj til eventuelle RDP-forbindelser foretaget af kriminelle, da det kan dræbe de tilknyttede processer og skrabe eventuelle yderligere identificerende artefakter. Version 0.8 af Hisoka Malware kommunikerede med sin Command-and-Control (C2, C&C) infrastruktur gennem både HTTP og DNS-tunneling.

Hisoka antager modulær tilgang

I en kampagne mod en anden Kuwait-organisation fra samme industrisektor opdagede infosec-forskere, at en ny version af Hisoka blev brugt. 0.9-versionen blev droppet som en fil med navnet 'netiso.sys.' Sammenlignet med de tidligere gentagelser af malware viste denne nye version en ændring i tankegangen for de kriminelle. I stedet for at samle al skadelig funktionalitet i en enkelt trussel forsøgte de nu at anvende en mere modulær tilgang ved at fjerne visse funktioner fra Hisoka og pakke den i en uafhængig malware-trussel kaldet Netero. Det nye værktøj er indlejret i Hisoka som en ressource ved navn 'msdtd' og kan initieres, hvis behovet opstår. Ved at uddelegere visse aspekter til forskellige værktøjer forsøger hackerne muligvis at minimere deres fodaftryk på den kompromitterede maskine og gøre detekteringen af deres værktøj hårdere.

Version 0.9 indeholdt også et udvidet udvalg af kommunikationskanaler med C2-serverne med inkludering af en e-mail-baseret kapacitet. For at denne metode skal fungere, udnytter Hisoka Exchange Web Services (EWS) og misbrugte legitimationsoplysninger til at oprette e-mails, der er gemt i mappen 'Kladder'. For indgående kommandoer scanner malware-truslen efter e-mails med emnet 'Projekt'. På samme tid udføres den udgående kommunikation via e-mails med emnet 'Tilstedeværende'. Brødteksten i den udgående e-mail indeholder en krypteret besked, og en fil kan vedhæftes, hvis den relevante kommando 'upload_file' er modtaget.