הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית דלת אחורית של HttpTroy

דלת אחורית של HttpTroy

עד Mezo ב-תוכנה זדונית, דלתות אחוריות
לתרגם ל:

שחקן הקשור לצפון קוריאה, תחת השם קימסוקי, נצפה כשהוא מבצע דלת אחורית שלא נראתה קודם לכן, תחת השם 'HttpTroy', כנגד מטרה אחת בדרום קוריאה. הגילוי לא כלל ציר זמן, אך חוקרים מדווחים כי הפריצה החלה בחבילת פישינג שנוצרה בקפידה, שהתחזתה לחשבונית VPN כדי להערים על הקורבן לפתוח את הארכיון הזדוני.

מסירה וביצוע ראשוני

ההדבקה החלה בארכיון ZIP שהתחזה לחשבונית עבור ציוד VPN. בפנים היה קובץ SCR של Windows שכאשר הופעל, הפעיל שרשרת ביצוע אוטומטית בת שלושה שלבים. השלב הראשון הוא קובץ Dropper קטן הממומש כקובץ בינארי של Golang. קובץ זה נושא שלושה משאבים מוטמעים, אחד מהם הוא קובץ PDF שפיר המוצג למשתמש כפיתיון כך שהפעילות הזדונית פועלת מבלי שיבחינו ברקע.

שרשרת הביצוע

  • טפטפת גולאנג קטנה (מכילה קובץ PDF של פיתיון משובץ ומטענים אחרים)
  • רכיב טוען בשם MemLoad
  • דלת אחורית DLL סופית שכונתה HttpTroy

התמדה והתנהגות טוען

הטוען, MemLoad, פועל במקביל ל-dropper ומטפל בפריסת קבצי persistence ו-payload. הוא יוצר משימה מתוזמנת שכותרתה 'AhnlabUpdate' - ניסיון ברור לחקות את Ahnlab כדי להפחית חשד - ומשתמש במשימה זו כדי להבטיח שהדלת האחורית נטענת באופן רציף. MemLoad אחראי גם על פענוח והזרקת דלת האחורית של קובץ ה-DLL למרחב התהליך של המארח לצורך ביצוע.

יכולות המסופקות על ידי הדלת האחורית

  • העלאה והורדה של קבצים שרירותיים אל/מהמארח של הקורבן
  • צילום צילומי מסך של שולחן העבודה
  • ביצוע פקודות עם הרשאות מוגברות והפעלת פגזים הפוכים
  • טעינה והרצה של קבצי הרצה ישירות בזיכרון (ביצוע ללא קבצים)
  • סיום תהליכים והסרת עקבות פעילות

פיקוד ובקרה והתנהגות רשת

HttpTroy מתקשר עם הבקר שלו דרך HTTP רגיל על ידי שליחת בקשות POST לדומיין C2 המזוהה כ-load.auraria.org. השימוש ב-HTTP POST גורם לתעבורת רשת להתמזג עם תעבורת אינטרנט רגילה אלא אם כן צוין פרופיל ספציפי.

טכניקות אנטי-אנליזה וטשטוש

השתל משתמש במספר אמצעי ערפול רב-שכבתיים כדי לסכל ניתוח סטטי וזיהוי חתימות. במקום לקודד שמות ומחרוזות API, הוא מסתיר קריאות API באמצעות שגרות גיבוב מותאמות אישית ומסתיר ארטיפקטים טקסטואליים באמצעות מניפולציות בסגנון XOR ו-SIMD. חשוב לציין, שהוא אינו עושה שימוש חוזר באותם ערכי גיבוב או קידודי מחרוזות - התוכנה הזדונית משחזרת גיבובי API ומחרוזות נדרשים תוך כדי שימוש בפעולות אריתמטיות ולוגיות שונות, מה שמגדיל את עלות ההנדסה לאחור ויצירת חתימות.

ייחוס והקשר

אינדיקטורים התנהגותיים ומיקוד מתאימים את הפעילות לקימסוקי. נראה כי ההתקפה הייתה תקיפה ממוקדת באמצעות חנית-פישינג שכוונה נגד נמען דרום קוריאני. החוקרים לא פרסמו את המועד המדויק של האירוע.

מַסְקָנָה

כדי לזהות ולמתן פגיעה אפשרית בזיהומים הקשורים ל-HttpTroy, ארגונים צריכים לעקוב מקרוב אחר המערכות שלהם אחר כל משימה מתוזמנת חשודה, במיוחד כאלה שמתחזות לעדכוני ספק לגיטימיים. יש להגדיר הגנות רשת לזיהוי ולסמן תקשורת HTTP POST המופנית לדומיינים חיצוניים לא ידועים או לא שגרתיים, מה שיאפשר בדיקה מעמיקה יותר של הנתונים המועברים במידת האפשר.

מומלץ לצוותי אבטחה להגביל או לחסום את הביצוע של קבצי SCR בלתי צפויים וקבצי Golang בינאריים לא מזוהים בנקודות קצה. בנוסף, פריסת פתרונות הגנה חזקים לנקודות קצה המסוגלים לזהות ביצוע קוד בזיכרון ולזהות פעילות חריגה של הזרקת תהליכים יכולה להפחית משמעותית את הסיכון לפריצה.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
32,906
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...