HttpTroy-bagdør

En aktør med tilknytning til Nordkorea, sporet som Kimsuky, er blevet observeret i at levere en hidtil uset bagdør, sporet som 'HttpTroy', mod et enkelt mål i Sydkorea. Afsløringen inkluderede ikke en tidslinje, men forskere rapporterer, at indtrængen begyndte med en omhyggeligt udformet phishing-pakke, der efterlignede en VPN-faktura for at narre offeret til at åbne det ondsindede arkiv.

Levering og første udførelse

Infektionen startede med et ZIP-arkiv, der udgav sig for at være en faktura for VPN-udstyr. Indeni var en Windows SCR-fil, der, når den blev udført, startede en automatiseret tre-trins udførelseskæde. Det første trin er en lille dropper implementeret som en Golang-binær. Denne dropper indeholder tre indlejrede ressourcer, hvoraf den ene er en godartet PDF, der vises til brugeren som et lokkemiddel, så den ondsindede aktivitet kører ubemærket i baggrunden.

Udførelseskæden

• Lille Golang-dropper (indeholder indlejret lokkefugle-PDF og andre nyttelast)
• Loader-komponent med navnet MemLoad
• Sidste DLL-bagdør kaldet HttpTroy

Vedholdenhed og læsseradfærd

Indlæseren, MemLoad, kører samtidig med dropperen og håndterer persistens og payload-implementering. Den opretter en planlagt opgave med navnet 'AhnlabUpdate' – et åbenlyst forsøg på at efterligne AhnLab for at reducere mistanke – og bruger denne opgave til at sikre, at bagdøren indlæses løbende. MemLoad er også ansvarlig for at dekryptere og injicere DLL-bagdøren i værtsprocesrummet til udførelse.

Funktioner leveret af bagdøren

• Upload og download vilkårlige filer til/fra offerets vært
• Tag skærmbilleder af skrivebordet
• Udfør kommandoer med forhøjede rettigheder og start reverse shells
• Indlæs og kør eksekverbare filer direkte i hukommelsen (filløs udførelse)
• Afslut processer og fjern spor af aktivitet

Kommando og kontrol og netværksadfærd

HttpTroy kommunikerer med sin controller via almindelig HTTP ved at sende POST-anmodninger til et C2-domæne identificeret som load.auraria.org. Brugen af HTTP POST blander netværkstrafik med normal webtrafik, medmindre den specifikt er profileret.

Antianalyse og obfuskationsteknikker

Implantatet bruger adskillige lagdelte obfuskeringsforanstaltninger til at frustrere statisk analyse og signaturdetektion. I stedet for at hardcode API-navne og -strenge skjuler det API-kald via brugerdefinerede hash-rutiner og skjuler tekstuelle artefakter med XOR- og SIMD-lignende manipulationer. Det er vigtigt at bemærke, at det ikke genbruger de samme hashede værdier eller strengkodninger – malwaren rekonstruerer nødvendige API-hashes og -strenge undervejs ved hjælp af varierende aritmetiske og logiske operationer, hvilket øger omkostningerne ved reverse engineering og oprettelse af signaturer.

Attribuering og kontekst

Adfærdsindikatorer og målretning afspejler aktiviteten i forhold til Kimsuky. Angrebet ser ud til at være et målrettet spear-phish-angreb rettet mod en sydkoreansk modtager. Forskerne har ikke frigivet den nøjagtige tidsplan for hændelsen.

Konklusion

For at opdage og afbøde potentielle infektioner, der involverer HttpTroy, bør organisationer nøje overvåge deres systemer for mistænkelige planlagte opgaver, især dem, der udgiver sig for at være legitime leverandøropdateringer. Netværksforsvar bør konfigureres til at identificere og markere HTTP POST-kommunikation rettet mod ukendte eller usædvanlige eksterne domæner, hvilket muliggør dybere inspektion af transmitterede data, når det er muligt.

Sikkerhedsteams rådes også til at begrænse eller blokere udførelsen af uventede SCR-filer og uigenkendte Golang-binære filer på tværs af endpoints. Derudover kan implementering af robuste endpoint-beskyttelsesløsninger, der er i stand til at identificere kodeudførelse i hukommelsen og detektere unormal procesinjektionsaktivitet, reducere risikoen for kompromittering betydeligt.