Backdoor HttpTroy
Un autore legato alla Corea del Nord, identificato come Kimsuky, è stato osservato mentre diffondeva una backdoor mai vista prima, identificata come "HttpTroy", contro un singolo obiettivo in Corea del Sud. La divulgazione non includeva una cronologia, ma i ricercatori riferiscono che l'intrusione è iniziata con un pacchetto di phishing accuratamente creato che imitava una fattura VPN per indurre la vittima ad aprire l'archivio dannoso.
Sommario
Consegna ed esecuzione iniziale
L'infezione è iniziata con un archivio ZIP spacciato per una fattura per apparecchiature VPN. Al suo interno era presente un file SCR di Windows che, una volta eseguito, avviava una catena di esecuzione automatizzata in tre fasi. La prima fase è un piccolo dropper implementato come binario Golang. Tale dropper contiene tre risorse incorporate, una delle quali è un PDF benigno mostrato all'utente come esca, in modo che l'attività dannosa venga eseguita in background senza essere notata.
La catena di esecuzione
- Piccolo contagocce Golang (contiene PDF esca incorporato e altri payload)
- Componente del caricatore denominato MemLoad
- Backdoor DLL finale denominato HttpTroy
Persistenza e comportamento del caricatore
Il loader, MemLoad, viene eseguito contemporaneamente al dropper e gestisce la persistenza e il deployment del payload. Crea un'attività pianificata denominata "AhnlabUpdate" – un ovvio tentativo di imitare AhnLab per ridurre i sospetti – e la utilizza per garantire che la backdoor venga caricata regolarmente. MemLoad è anche responsabile della decifratura e dell'iniezione della backdoor DLL nello spazio del processo host per l'esecuzione.
Capacità fornite da Backdoor
- Caricare e scaricare file arbitrari da/verso l'host della vittima
- Cattura screenshot del desktop
- Esegui comandi con privilegi elevati e genera shell inverse
- Carica ed esegui eseguibili direttamente nella memoria (esecuzione senza file)
- Terminare i processi e rimuovere le tracce di attività
Comando e controllo e comportamento della rete
HttpTroy comunica con il suo controller tramite HTTP semplice inviando richieste POST a un dominio C2 identificato come load.auraria.org. L'utilizzo di HTTP POST fa sì che il traffico di rete si mescoli al normale traffico web, a meno che non sia specificamente profilato.
Tecniche di anti-analisi e offuscamento
L'impianto utilizza diverse misure di offuscamento a più livelli per ostacolare l'analisi statica e il rilevamento delle firme. Invece di codificare nomi e stringhe API in modo rigido, nasconde le chiamate API tramite routine hash personalizzate e occulta gli artefatti testuali con manipolazioni in stile XOR e SIMD. È importante sottolineare che non riutilizza gli stessi valori hash o le stesse codifiche di stringa: il malware ricostruisce al volo gli hash e le stringhe API necessari utilizzando diverse operazioni aritmetiche e logiche, il che aumenta i costi di reverse engineering e creazione delle firme.
Attribuzione e contesto
Gli indicatori comportamentali e il targeting collegano l'attività a Kimsuky. L'attacco sembra essere uno spear-phishing mirato, mirato a un destinatario sudcoreano. I ricercatori non hanno reso noto il momento esatto dell'incidente.
Conclusione
Per rilevare e mitigare potenziali infezioni che coinvolgono HttpTroy, le organizzazioni dovrebbero monitorare attentamente i propri sistemi per individuare eventuali attività pianificate sospette, in particolare quelle mascherate da aggiornamenti legittimi dei fornitori. Le difese di rete dovrebbero essere configurate per identificare e contrassegnare le comunicazioni HTTP POST dirette a domini esterni sconosciuti o non comuni, consentendo un'analisi più approfondita dei dati trasmessi, ove possibile.
Si consiglia inoltre ai team di sicurezza di limitare o bloccare l'esecuzione di file SCR inaspettati e di binari Golang non riconosciuti sugli endpoint. Inoltre, l'implementazione di soluzioni di protezione degli endpoint robuste in grado di identificare l'esecuzione di codice in memoria e di rilevare attività anomale di iniezione di processi può ridurre significativamente il rischio di compromissione.
