Rabattoffert för flera licenser
Hotdatabas Skadlig programvara HttpTroy-bakdörr

HttpTroy-bakdörr

Med Mezo år Skadlig programvara, Bakdörrar
Översätt till:

En aktör med kopplingar till Nordkorea, spårad som Kimsuky, har observerats leverera en tidigare osedd bakdörr, spårad som "HttpTroy", mot ett enda mål i Sydkorea. Avslöjandet inkluderade ingen tidslinje, men forskare rapporterar att intrånget började med ett noggrant utformat nätfiskepaket som utgav sig för att vara en VPN-faktura för att lura offret att öppna det skadliga arkivet.

Leverans och initialt utförande

Infektionen började med ett ZIP-arkiv som utgav sig för att vara en faktura för VPN-utrustning. Inuti fanns en Windows SCR-fil som, när den kördes, startade en automatiserad exekveringskedja i tre steg. Det första steget är en liten dropper implementerad som en Golang-binärfil. Den droppern innehåller tre inbäddade resurser, varav en är en godartad PDF som visas för användaren som ett lockbete så att den skadliga aktiviteten körs obemärkt i bakgrunden.

Utförandekedjan

  • Liten Golang-dropper (innehåller inbäddad PDF med lockbete och andra nyttolaster)
  • Loader-komponent med namnet MemLoad
  • Slutlig DLL-bakdörr dubbad HttpTroy

Persistens och lastarens beteende

Laddaren, MemLoad, körs samtidigt med droppern och hanterar persistens och nyttolastdistribution. Den skapar en schemalagd uppgift med namnet "AhnlabUpdate" – ett uppenbart försök att imitera AhnLab för att minska misstankar – och använder den uppgiften för att säkerställa att bakdörren laddas kontinuerligt. MemLoad ansvarar också för att dekryptera och injicera DLL-bakdörren i värdprocessutrymmet för körning.

Funktioner som tillhandahålls av bakdörren

  • Ladda upp och ladda ner godtyckliga filer till/från offrets värd
  • Ta skärmdumpar av skrivbordet
  • Kör kommandon med förhöjda privilegier och skapa omvända skal
  • Ladda och köra körbara filer direkt i minnet (fillös körning)
  • Avsluta processer och ta bort spår av aktivitet

Kommando- och kontrollsystem och nätverksbeteende

HttpTroy kommunicerar med sin kontrollant via vanlig HTTP genom att skicka POST-förfrågningar till en C2-domän identifierad som load.auraria.org. Användningen av HTTP POST gör att nätverkstrafik blandas med vanlig webbtrafik om den inte specifikt profileras.

Antianalys- och obfuskeringstekniker

Implantatet använder flera lager av förvirringsåtgärder för att försvåra statisk analys och signaturdetektering. Istället för att hårdkoda API-namn och strängar döljer det API-anrop via anpassade hashrutiner och textartefakter med XOR- och SIMD-liknande manipulationer. Viktigt är att det inte återanvänder samma hashadvärden eller strängkodningar – skadlig programvara rekonstruerar nödvändiga API-hashar och strängar i farten med hjälp av varierande aritmetiska och logiska operationer, vilket ökar kostnaden för reverse engineering och signaturskapande.

Attribuering och kontext

Beteendeindikatorer och målgruppsanpassning sammankopplar aktiviteten med Kimsuky. Attacken verkar vara ett riktat spjutnätverk riktat mot en sydkoreansk mottagare. Den exakta tidpunkten för händelsen har inte släppts av forskarna.

Slutsats

För att upptäcka och minska potentiella infektioner som involverar HttpTroy bör organisationer noggrant övervaka sina system för misstänkta schemalagda uppgifter, särskilt de som utger sig för att vara legitima leverantörsuppdateringar. Nätverksförsvar bör konfigureras för att identifiera och flagga HTTP POST-kommunikation riktad mot okända eller ovanliga externa domäner, vilket möjliggör djupare inspektion av överförd data när det är möjligt.

Säkerhetsteam rekommenderas också att begränsa eller blockera körningen av oväntade SCR-filer och okända Golang-binärfiler över slutpunkter. Dessutom kan implementering av robusta lösningar för slutpunktsskydd som kan identifiera kodkörning i minnet och upptäcka avvikande processinjiceringsaktivitet avsevärt minska risken för kompromettering.

Trendigt

Mest sedda

Läser in...