HttpTroy-bakdør

En aktør med tilknytning til Nord-Korea, sporet som Kimsuky, har blitt observert mens han leverte en tidligere usett bakdør, sporet som «HttpTroy», mot et enkelt mål i Sør-Korea. Avsløringen inkluderte ingen tidslinje, men forskere rapporterer at innbruddet startet med en nøye utformet phishing-pakke som utga seg for å være en VPN-faktura for å lure offeret til å åpne det skadelige arkivet.

Levering og førstegangs utførelse

Infeksjonen startet med et ZIP-arkiv som utga seg for å være en faktura for VPN-utstyr. Inni var det en Windows SCR-fil som, når den ble kjørt, startet en automatisert tretrinns utførelseskjede. Det første trinnet er en liten dropper implementert som en Golang-binærfil. Denne dropperen inneholder tre innebygde ressurser, hvorav én er en godartet PDF som vises til brukeren som et lokkemiddel, slik at den ondsinnede aktiviteten kjører ubemerket i bakgrunnen.

Henrettelseskjeden

• Liten Golang-dropper (inneholder innebygd lokkefugl-PDF og annen nyttelast)
• Loader-komponent med navnet MemLoad
• Endelig DLL-bakdør kalt HttpTroy

Persistens og lasteratferd

Lasteren, MemLoad, kjører samtidig med dropperen og håndterer persistens og nyttelastdistribusjon. Den oppretter en planlagt oppgave kalt «AhnlabUpdate» – et åpenbart forsøk på å etterligne AhnLab for å redusere mistanke – og bruker denne oppgaven til å sikre at bakdøren lastes inn kontinuerlig. MemLoad er også ansvarlig for å dekryptere og injisere DLL-bakdøren i vertsprosessområdet for utførelse.

Funksjoner levert av bakdøren

• Last opp og last ned vilkårlige filer til/fra offerets vert
• Ta skjermbilder av skrivebordet
• Utfør kommandoer med forhøyede rettigheter og start omvendte skall
• Last inn og kjør kjørbare filer direkte i minnet (filløs kjøring)
• Avslutt prosesser og fjern spor av aktivitet

Kommando og kontroll og nettverksatferd

HttpTroy kommuniserer med kontrolleren sin over vanlig HTTP ved å sende POST-forespørsler til et C2-domene identifisert som load.auraria.org. Bruken av HTTP POST gjør at nettverkstrafikk blandes med vanlig webtrafikk med mindre den er spesifikt profilert.

Antianalyse og obfuskasjonsteknikker

Implantatet bruker flere lagdelte obfuskeringstiltak for å frustrere statisk analyse og signaturdeteksjon. I stedet for å hardkode API-navn og -strenger, skjuler det API-kall via tilpassede hash-rutiner og skjuler tekstlige artefakter med XOR- og SIMD-lignende manipulasjoner. Det er viktig at det ikke gjenbruker de samme hashede verdiene eller strengkodingene – skadevaren rekonstruerer nødvendige API-hasher og -strenger underveis ved hjelp av varierende aritmetiske og logiske operasjoner, noe som øker kostnadene for reverse engineering og signaturoppretting.

Attribusjon og kontekst

Atferdsindikatorer og målretting samsvarer aktiviteten med Kimsuky. Angrepet ser ut til å være et målrettet spydfiskangrep rettet mot en sørkoreansk mottaker. Det nøyaktige tidspunktet for hendelsen ble ikke offentliggjort av forskerne.

Konklusjon

For å oppdage og redusere potensielle infeksjoner som involverer HttpTroy, bør organisasjoner nøye overvåke systemene sine for mistenkelige planlagte oppgaver, spesielt de som utgir seg for å være legitime leverandøroppdateringer. Nettverksforsvar bør konfigureres til å identifisere og flagge HTTP POST-kommunikasjon rettet mot ukjente eller uvanlige eksterne domener, noe som muliggjør dypere inspeksjon av overførte data når det er mulig.

Sikkerhetsteam rådes også til å begrense eller blokkere kjøringen av uventede SCR-filer og ugjenkjente Golang-binærfiler på tvers av endepunkter. I tillegg kan distribusjon av robuste endepunktbeskyttelsesløsninger som er i stand til å identifisere kjøring av kode i minnet og oppdage unormal prosessinjeksjonsaktivitet, redusere risikoen for kompromittering betydelig.