Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware HttpTroy Backdoor

HttpTroy Backdoor

Por Mezo em Malware, Backdoors
Traduzir Para:

Um agente ligado à Coreia do Norte, identificado como Kimsuky, foi flagrado distribuindo um backdoor até então desconhecido, identificado como 'HttpTroy', contra um alvo na Coreia do Sul. A divulgação não incluiu um cronograma, mas pesquisadores relatam que a intrusão começou com um pacote de phishing cuidadosamente elaborado, que se passava por uma fatura de VPN para enganar a vítima e levá-la a abrir o arquivo malicioso.

Entrega e Execução Inicial

A infecção começou com um arquivo ZIP que se passava por uma fatura de equipamento VPN. Dentro dele havia um arquivo SCR do Windows que, ao ser executado, iniciava uma cadeia de execução automatizada em três etapas. A primeira etapa é um pequeno dropper implementado como um binário em Golang. Esse dropper carrega três recursos embutidos, um dos quais é um PDF inofensivo exibido ao usuário como isca para que a atividade maliciosa seja executada despercebida em segundo plano.

A Cadeia de Execução

  • Pequeno dropper em Golang (contém PDF de isca embutido e outras cargas úteis)
  • Componente de carregamento chamado MemLoad
  • Backdoor DLL final apelidado de HttpTroy

Persistência e comportamento do carregador

O carregador, MemLoad, é executado simultaneamente com o instalador e gerencia a persistência e a implantação do payload. Ele cria uma tarefa agendada chamada 'AhnlabUpdate' — uma tentativa óbvia de imitar o AhnLab para reduzir suspeitas — e usa essa tarefa para garantir que o backdoor seja carregado continuamente. O MemLoad também é responsável por descriptografar e injetar o backdoor em DLL no espaço de processo do host para execução.

Funcionalidades oferecidas pela porta dos fundos

  • Carregar e descarregar ficheiros arbitrários de/para o host da vítima.
  • Capture capturas de tela da área de trabalho.
  • Execute comandos com privilégios elevados e inicie shells reversos.
  • Carregar e executar arquivos diretamente na memória (execução sem arquivo).
  • Encerrar processos e remover vestígios de atividade

Comando e Controle e Comportamento de Rede

O HttpTroy se comunica com seu controlador via HTTP simples, enviando requisições POST para um domínio C2 identificado como load.auraria.org. O uso do HTTP POST faz com que o tráfego de rede se misture ao tráfego web normal, a menos que seja especificamente analisado.

Técnicas de anti-análise e ofuscação

O implante utiliza diversas camadas de ofuscação para dificultar a análise estática e a detecção de assinaturas. Em vez de codificar nomes e strings de APIs diretamente no código, ele oculta as chamadas de API por meio de rotinas de hash personalizadas e disfarça artefatos textuais com manipulações XOR e SIMD. É importante ressaltar que ele não reutiliza os mesmos valores de hash ou codificações de strings — o malware reconstrói os hashes e strings de API necessários dinamicamente, utilizando diferentes operações aritméticas e lógicas, o que aumenta o custo da engenharia reversa e da criação de assinaturas.

Atribuição e contexto

Os indicadores comportamentais e a segmentação confirmam a atividade do grupo Kimsuky. O ataque parece ser um spear-phishing direcionado a um destinatário sul-coreano. O horário exato do incidente não foi divulgado pelos pesquisadores.

Conclusão

Para detectar e mitigar possíveis infecções envolvendo o HttpTroy, as organizações devem monitorar atentamente seus sistemas em busca de quaisquer tarefas agendadas suspeitas, principalmente aquelas que se disfarçam de atualizações legítimas de fornecedores. As defesas de rede devem ser configuradas para identificar e sinalizar comunicações HTTP POST direcionadas a domínios externos desconhecidos ou incomuns, permitindo uma inspeção mais aprofundada dos dados transmitidos, quando possível.

Recomenda-se também que as equipes de segurança restrinjam ou bloqueiem a execução de arquivos SCR inesperados e binários Golang não reconhecidos em todos os endpoints. Além disso, a implementação de soluções robustas de proteção de endpoints, capazes de identificar a execução de código na memória e detectar atividades anômalas de injeção de processos, pode reduzir significativamente o risco de comprometimento.

Tendendo

Lei de A Lei de Privacidade de Email para Proteger a...

Segurança do Computador
Na era da Internet em rápida evolução, a segurança e a privacidade de seus dados são um território incerto. Existem muitas entidades opostas que tentam violar seus dados privados todos os dias se você acessar a Internet. Felizmente, nos EUA, o governo está se esforçando para tornar sua privacidade uma prioridade pela aprovação unânime da lei da Lei de Privacidade por Email para proteger a...

Mais visto

Carregando...