HttpTroy బ్యాక్‌డోర్

కిమ్సుకీగా ట్రాక్ చేయబడిన ఉత్తర కొరియాతో సంబంధం ఉన్న నటుడు దక్షిణ కొరియాలోని ఒకే లక్ష్యానికి వ్యతిరేకంగా 'HttpTroy' గా ట్రాక్ చేయబడిన గతంలో చూడని బ్యాక్‌డోర్‌ను అందించడం గమనించబడింది. బహిర్గతం టైమ్‌లైన్‌ను చేర్చలేదు, కానీ పరిశోధకులు నివేదించిన ప్రకారం, హానికరమైన ఆర్కైవ్‌ను తెరవడానికి బాధితుడిని మోసగించడానికి VPN ఇన్‌వాయిస్ వలె నటించి జాగ్రత్తగా రూపొందించిన ఫిషింగ్ ప్యాకేజీతో చొరబాటు ప్రారంభమైంది.

డెలివరీ మరియు ప్రారంభ అమలు

VPN పరికరాలకు ఇన్‌వాయిస్‌గా ఉండే ZIP ఆర్కైవ్‌తో ఈ ఇన్ఫెక్షన్ ప్రారంభమైంది. లోపల ఒక Windows SCR ఫైల్ ఉంది, అది అమలు చేయబడినప్పుడు, ఆటోమేటెడ్ మూడు-దశల అమలు గొలుసును ప్రారంభించింది. మొదటి దశ గోలాంగ్ బైనరీగా అమలు చేయబడిన ఒక చిన్న డ్రాపర్. ఆ డ్రాపర్ మూడు ఎంబెడెడ్ వనరులను కలిగి ఉంటుంది, వాటిలో ఒకటి వినియోగదారుకు డెకోయ్‌గా చూపబడిన నిరపాయకరమైన PDF కాబట్టి హానికరమైన కార్యాచరణ నేపథ్యంలో గుర్తించబడకుండా నడుస్తుంది.

ది ఎగ్జిక్యూషన్ చైన్

• చిన్న గోలాంగ్ డ్రాపర్ (ఎంబెడెడ్ డెకాయ్ PDF మరియు ఇతర పేలోడ్‌లను కలిగి ఉంటుంది)
• MemLoad అనే లోడర్ భాగం
• HttpTroy గా పిలువబడే ఫైనల్ DLL బ్యాక్‌డోర్

పట్టుదల మరియు లోడర్ ప్రవర్తన

లోడర్, MemLoad, డ్రాపర్‌తో ఏకకాలంలో నడుస్తుంది మరియు నిలకడ మరియు పేలోడ్ విస్తరణను నిర్వహిస్తుంది. ఇది 'AhnlabUpdate' అని లేబుల్ చేయబడిన షెడ్యూల్ చేయబడిన పనిని సృష్టిస్తుంది - అనుమానాన్ని తగ్గించడానికి AhnLabని అనుకరించే స్పష్టమైన ప్రయత్నం - మరియు బ్యాక్‌డోర్ నిరంతర ప్రాతిపదికన లోడ్ అయ్యేలా చూసుకోవడానికి ఆ పనిని ఉపయోగిస్తుంది. అమలు కోసం హోస్ట్ ప్రాసెస్ స్థలంలోకి DLL బ్యాక్‌డోర్‌ను డీక్రిప్ట్ చేయడానికి మరియు ఇంజెక్ట్ చేయడానికి కూడా MemLoad బాధ్యత వహిస్తుంది.

బ్యాక్‌డోర్ అందించే సామర్థ్యాలు

• బాధిత హోస్ట్ నుండి/కు ఏకపక్ష ఫైళ్లను అప్‌లోడ్ చేయండి మరియు డౌన్‌లోడ్ చేయండి.
• డెస్క్‌టాప్ యొక్క స్క్రీన్‌షాట్‌లను సంగ్రహించండి
• ఎలివేటెడ్ ప్రివిలేజ్‌లతో కమాండ్‌లను అమలు చేయండి మరియు రివర్స్ షెల్‌లను స్పాన్ చేయండి
• ఎక్జిక్యూటబుల్స్‌ను నేరుగా మెమరీలో లోడ్ చేసి అమలు చేయండి (ఫైల్‌లెస్ ఎగ్జిక్యూషన్)
• ప్రక్రియలను ముగించండి మరియు కార్యాచరణ జాడలను తొలగించండి

కమాండ్-అండ్-కంట్రోల్ మరియు నెట్‌వర్క్ ప్రవర్తన

load.auraria.org గా గుర్తించబడిన C2 డొమైన్‌కు POST అభ్యర్థనలను పంపడం ద్వారా HttpTroy దాని కంట్రోలర్‌తో సాదా HTTP ద్వారా కమ్యూనికేట్ చేస్తుంది. ప్రత్యేకంగా ప్రొఫైల్ చేయకపోతే HTTP POST వాడకం నెట్‌వర్క్ ట్రాఫిక్‌ను సాధారణ వెబ్ ట్రాఫిక్‌తో మిళితం చేస్తుంది.

విశ్లేషణ వ్యతిరేకత మరియు అస్పష్టత పద్ధతులు

స్టాటిక్ విశ్లేషణ మరియు సంతకం గుర్తింపును నిరాశపరచడానికి ఇంప్లాంట్ అనేక లేయర్డ్ అస్పష్టత చర్యలను ఉపయోగిస్తుంది. API పేర్లు మరియు స్ట్రింగ్‌లను హార్డ్‌కోడింగ్ చేయడానికి బదులుగా, ఇది కస్టమ్ హాష్ రొటీన్‌ల ద్వారా API కాల్‌లను దాచిపెడుతుంది మరియు XOR మరియు SIMD-శైలి మానిప్యులేషన్‌లతో టెక్స్ట్ ఆర్టిఫ్యాక్ట్‌లను దాచిపెడుతుంది. ముఖ్యంగా, ఇది అదే హాష్ చేసిన విలువలను లేదా స్ట్రింగ్ ఎన్‌కోడింగ్‌లను తిరిగి ఉపయోగించదు - మాల్వేర్ అవసరమైన API హాష్‌లు మరియు స్ట్రింగ్‌లను వివిధ అంకగణిత మరియు తార్కిక కార్యకలాపాలను ఉపయోగించి ఫ్లైలో పునర్నిర్మిస్తుంది, ఇది రివర్స్ ఇంజనీరింగ్ మరియు సంతకం సృష్టి ఖర్చును పెంచుతుంది.

లక్షణం మరియు సందర్భం

ప్రవర్తనా సూచికలు మరియు లక్ష్యం కిమ్సుకీతో కార్యాచరణను సమలేఖనం చేస్తాయి. ఈ దాడి దక్షిణ కొరియా గ్రహీతను లక్ష్యంగా చేసుకున్న స్పియర్-ఫిష్ లాగా కనిపిస్తుంది. సంఘటన యొక్క ఖచ్చితమైన సమయాన్ని పరిశోధకులు విడుదల చేయలేదు.

ముగింపు

HttpTroy తో సంబంధం ఉన్న సంభావ్య ఇన్ఫెక్షన్లను గుర్తించడానికి మరియు తగ్గించడానికి, సంస్థలు ఏవైనా అనుమానాస్పద షెడ్యూల్ చేయబడిన పనుల కోసం, ముఖ్యంగా చట్టబద్ధమైన విక్రేత నవీకరణల వలె ముసుగు వేసే వాటి కోసం వారి వ్యవస్థలను నిశితంగా పర్యవేక్షించాలి. తెలియని లేదా అసాధారణమైన బాహ్య డొమైన్‌లపై నిర్దేశించబడిన HTTP POST కమ్యూనికేషన్‌లను గుర్తించి ఫ్లాగ్ చేయడానికి నెట్‌వర్క్ రక్షణలను కాన్ఫిగర్ చేయాలి, సాధ్యమైనప్పుడు ప్రసారం చేయబడిన డేటాను లోతుగా తనిఖీ చేయడానికి వీలు కల్పిస్తుంది.

భద్రతా బృందాలు ఊహించని SCR ఫైల్‌లు మరియు గుర్తించబడని గోలాంగ్ బైనరీల అమలును ఎండ్‌పాయింట్‌లలో పరిమితం చేయాలని లేదా నిరోధించాలని కూడా సూచించబడ్డాయి. అదనంగా, ఇన్-మెమరీ కోడ్ అమలును గుర్తించగల మరియు క్రమరహిత ప్రాసెస్ ఇంజెక్షన్ కార్యాచరణను గుర్తించగల బలమైన ఎండ్‌పాయింట్ రక్షణ పరిష్కారాలను అమలు చేయడం వలన రాజీ ప్రమాదాన్ని గణనీయంగా తగ్గించవచ్చు.