HIsoka Malware

HIsoka Malware Beschrijving

De Hisoka Malware is een achterdeurdreiging die wordt ingezet in twee afzonderlijke aanvalscampagnes gericht op transport- en scheepvaartmaatschappijen in Koeweit. De bedreigingsactoren gebruikten Hisoka naast verschillende andere op maat gemaakte malwarebedreigingen. De hackers noemden hun tools naar personages uit de populaire manga- en anime-serie 'Hunter x Hunter' - Sakaboto, Hisoka, Gon, Killua en Netero.

De eerste keer dat de Hisoka Malware werd gedetecteerd, was toen de malware werd gedropt op een computer van een organisatie die werkzaam was in de transport- en scheepvaartsector van Koeweit. Het beschadigde binaire bestand heette 'inetinfo.sys' en had een Hisoka versie 0.8-variant. Via Hisoka implementeerden de bedreigingsactoren snel twee extra malwaretools: Gon en EYE. Gon is een krachtige achterdeur waarmee hackers gegevens kunnen uploaden en downloaden, opdrachten kunnen uitvoeren, Remote Desktop Protocol (RDP) -verbindingen kunnen openen, screenshots kunnen maken, scannen naar open poorten, enz. Aan de andere kant is EYE een opruimtool voor alle RDP-verbindingen die door de criminelen zijn gemaakt, omdat het de bijbehorende processen kan doden en eventuele aanvullende identificerende artefacten kan verwijderen. Versie 0.8 van de Hisoka Malware communiceerde met zijn Command-and-Control (C2, C&C) -infrastructuur via zowel HTTP- als DNS-tunneling.

Hisoka gaat uit van een modulaire aanpak

In een campagne tegen een andere Koeweitse organisatie uit dezelfde branche ontdekten infosec-onderzoekers dat een nieuwe versie van Hisoka werd gebruikt. De 0.9-versie is verwijderd als een bestand met de naam 'netiso.sys.' Vergeleken met de vorige iteraties van de malware, toonde deze nieuwe versie een verandering in de mentaliteit van de criminelen. In plaats van alle schadelijke functionaliteit samen te brengen in één enkele bedreiging, probeerden ze nu een meer modulaire aanpak te hanteren door bepaalde functionaliteit uit Hisoka te verwijderen en deze in een zelfstandige malwarebedreiging genaamd Netero te verpakken. De nieuwe tool is in Hisoka ingebed als een bron met de naam 'msdtd' en kan worden gestart als dat nodig is. Door bepaalde aspecten aan verschillende tools te delegeren, proberen de hackers mogelijk hun voetafdruk op de gecompromitteerde machine te minimaliseren en de detectie van hun tool moeilijker te maken.

Versie 0.9 bevatte ook een uitgebreid scala aan communicatiekanalen met de C2-servers met de toevoeging van een op e-mail gebaseerde mogelijkheid. Om deze methode te laten werken, maakt Hisoka gebruik van Exchange Web Services (EWS) en onjuiste inloggegevens om e-mails te maken die zijn opgeslagen in de map 'Concepten'. Voor inkomende opdrachten scant de malwarebedreiging op e-mails met het onderwerp 'Project'. Tegelijkertijd verloopt de uitgaande communicatie via e-mails met als onderwerp 'Aanwezig'. De body van de uitgaande e-mail bevat een versleuteld bericht en een bestand kan worden bijgevoegd als het juiste 'upload_file'-commando is ontvangen.