HttpTroy Backdoor
Un actor cu legături cu Coreea de Nord, urmărit drept Kimsuky, a fost observat lansând un backdoor nevăzut anterior, urmărit drept „HttpTroy”, împotriva unei singure ținte din Coreea de Sud. Dezvăluirea nu a inclus o cronologie, dar cercetătorii raportează că intruziunea a început cu un pachet de phishing atent conceput, care s-a dat drept o factură VPN pentru a păcăli victima să deschidă arhiva rău intenționată.
Cuprins
Livrare și execuție inițială
Infecția a început cu o arhivă ZIP care se prezenta drept factură pentru echipamente VPN. În interior se afla un fișier SCR Windows care, odată executat, lansa un lanț de execuție automat în trei etape. Prima etapă este un mic dropper implementat ca un binar Golang. Dropper-ul respectiv conține trei resurse încorporate, dintre care una este un PDF benign afișat utilizatorului ca o capcană, astfel încât activitatea rău intenționată să treacă neobservată în fundal.
Lanțul de execuție
- Dropper Golang mic (conține momeală PDF încorporată și alte sarcini utile)
- Componentă de încărcător numită MemLoad
- Ultima ușă de acces DLL numită HttpTroy
Persistență și comportamentul încărcătorului
Încărcătorul, MemLoad, rulează concomitent cu dropper-ul și se ocupă de persistența și implementarea sarcinii utile. Acesta creează o sarcină programată numită „AhnlabUpdate” - o încercare evidentă de a imita AhnLab pentru a reduce suspiciunile - și folosește această sarcină pentru a se asigura că backdoor-ul este încărcat în mod continuu. MemLoad este, de asemenea, responsabil pentru decriptarea și injectarea backdoor-ului DLL în spațiul de proces gazdă pentru execuție.
Capacități oferite de backdoor
- Încărcarea și descărcarea fișierelor arbitrare către/de la gazda victimă
- Faceți capturi de ecran ale desktopului
- Execută comenzi cu privilegii ridicate și generează shell-uri inverse
- Încărcarea și rularea executabilelor direct în memorie (execuție fără fișiere)
- Terminați procesele și eliminați urmele de activitate
Comandă și control și comportamentul rețelei
HttpTroy comunică cu controlerul său prin HTTP simplu, trimițând cereri POST către un domeniu C2 identificat ca load.auraria.org. Utilizarea HTTP POST face ca traficul de rețea să se amestece cu traficul web normal, cu excepția cazului în care este profilat în mod specific.
Tehnici anti-analiză și ofuscare
Implantul folosește mai multe măsuri de ofuscare stratificate pentru a frustra analiza statică și detectarea semnăturilor. În loc să codifice hardcoded numele și șirurile API, acesta ascunde apelurile API prin rutine hash personalizate și artefacte textuale cu manipulări în stil XOR și SIMD. Important este că nu reutilizează aceleași valori hash sau codificări de șiruri - malware-ul reconstruiește hash-urile API și șirurile necesare din mers folosind diverse operații aritmetice și logice, ceea ce crește costul ingineriei inverse și al creării semnăturilor.
Atribuire și context
Indicatorii comportamentali și direcționarea aliniază activitatea cu Kimsuky. Atacul pare a fi un atac tip spear-phishing direcționat către un destinatar sud-coreean. Momentul exact al incidentului nu a fost dezvăluit de către cercetători.
Concluzie
Pentru a detecta și atenua potențialele infecții care implică HttpTroy, organizațiile ar trebui să își monitorizeze îndeaproape sistemele pentru orice sarcini programate suspecte, în special cele care se deghizează în actualizări legitime ale furnizorilor. Apărarea rețelei ar trebui configurată pentru a identifica și semnaliza comunicațiile HTTP POST direcționate către domenii externe necunoscute sau neobișnuite, permițând o inspecție mai aprofundată a datelor transmise atunci când este posibil.
Echipelor de securitate li se recomandă, de asemenea, să restricționeze sau să blocheze execuția fișierelor SCR neașteptate și a fișierelor binar Golang nerecunoscute pe endpoint-uri. În plus, implementarea unor soluții robuste de protecție a endpoint-urilor, capabile să identifice execuția de cod în memorie și să detecteze activitatea anormală de injectare a proceselor, poate reduce semnificativ riscul de compromitere.
