HttpTroy Backdoor
Связанный с Северной Кореей злоумышленник, известный как Kimsuky, был замечен в использовании ранее неизвестного бэкдора, известного как «HttpTroy», направленного против одной цели в Южной Корее. В сообщении не указана хронология, но исследователи сообщают, что атака началась с тщательно разработанного фишингового пакета, выдававшего себя за счёт VPN, чтобы обманным путём заставить жертву открыть вредоносный архив.
Оглавление
Доставка и первоначальное исполнение
Заражение началось с ZIP-архива, выдававшего себя за счёт за оборудование VPN. Внутри находился файл Windows SCR, который при запуске запускал автоматизированную трёхэтапную цепочку выполнения. Первый этап — небольшой дроппер, реализованный в виде исполняемого файла Golang. Этот дроппер содержит три встроенных ресурса, один из которых — безобидный PDF-файл, отображаемый пользователю в качестве приманки, что позволяет вредоносной активности работать незаметно в фоновом режиме.
Цепочка исполнения
- Небольшой Golang-дроппер (содержит встроенный обманный PDF-файл и другие полезные данные)
- Компонент загрузчика с именем MemLoad
- Финальный DLL-бэкдор под названием HttpTroy
Устойчивость и поведение загрузчика
Загрузчик MemLoad работает одновременно с дроппером и отвечает за сохранение и развёртывание полезной нагрузки. Он создаёт запланированную задачу с меткой «AhnlabUpdate» — очевидная попытка имитировать AhnLab для отвода глаз — и использует её для обеспечения постоянной загрузки бэкдора. MemLoad также отвечает за расшифровку и внедрение DLL-бэкдора в пространство хост-процесса для выполнения.
Возможности, предоставляемые бэкдором
- Загрузка и выгрузка произвольных файлов на/с хоста-жертвы
- Делайте снимки экрана рабочего стола
- Выполнять команды с повышенными привилегиями и создавать обратные оболочки
- Загрузка и запуск исполняемых файлов непосредственно в памяти (безфайловое выполнение)
- Завершение процессов и удаление следов активности
Командно-административное и сетевое поведение
HttpTroy взаимодействует со своим контроллером по обычному протоколу HTTP, отправляя POST-запросы на домен C2, идентифицированный как load.auraria.org. Использование HTTP POST приводит к тому, что сетевой трафик смешивается с обычным веб-трафиком, если не указано иное.
Методы антианализа и запутывания
Имплант использует несколько многоуровневых мер обфускации, чтобы помешать статическому анализу и обнаружению сигнатур. Вместо жёсткого кодирования имён API и строк он скрывает вызовы API с помощью специальных хэш-процедур и маскирует текстовые артефакты с помощью операций XOR и SIMD. Важно отметить, что он не использует повторно одни и те же хэшированные значения или кодировки строк — вредоносная программа реконструирует необходимые хэши API и строки «на лету», используя различные арифметические и логические операции, что увеличивает стоимость обратной разработки и создания сигнатур.
Атрибуция и контекст
Поведенческие индикаторы и таргетинг указывают на связь этой активности с Kimsuky. Похоже, что атака представляет собой целевую фишинговую атаку, направленную на южнокорейского получателя. Точное время инцидента исследователи не разглашают.
Заключение
Для обнаружения и предотвращения потенциальных заражений, связанных с HttpTroy, организациям следует внимательно отслеживать свои системы на предмет любых подозрительных запланированных задач, особенно тех, которые маскируются под легитимные обновления от поставщиков. Сетевые средства защиты должны быть настроены на выявление и пометку HTTP-запросов POST, направленных на неизвестные или необычные внешние домены, что позволит по возможности более глубоко проверять передаваемые данные.
Специалистам по безопасности также рекомендуется ограничить или заблокировать выполнение непредвиденных файлов SCR и нераспознанных двоичных файлов Golang на конечных точках. Кроме того, внедрение надежных решений для защиты конечных точек, способных выявлять выполнение кода в памяти и обнаруживать аномальные процессы внедрения, может значительно снизить риск компрометации.
