HttpTroy แบ็คดอร์

นักแสดงชายผู้เชื่อมโยงกับเกาหลีเหนือที่ติดตามตัวในชื่อ Kimsuky ถูกตรวจพบว่ากำลังส่ง backdoor ที่ไม่เคยปรากฏมาก่อน ชื่อ "HttpTroy" ไปยังเป้าหมายเดียวในเกาหลีใต้ การเปิดเผยนี้ไม่ได้ระบุระยะเวลาไว้ แต่นักวิจัยรายงานว่าการบุกรุกเริ่มต้นจากแพ็คเกจฟิชชิ่งที่สร้างขึ้นอย่างพิถีพิถัน ซึ่งปลอมแปลงเป็นใบแจ้งหนี้ VPN เพื่อหลอกให้เหยื่อเปิดไฟล์เก็บถาวรที่เป็นอันตราย

การส่งมอบและการดำเนินการเบื้องต้น

การติดเชื้อเริ่มต้นจากไฟล์ ZIP ที่ปลอมตัวเป็นใบแจ้งหนี้สำหรับอุปกรณ์ VPN ภายในไฟล์มีไฟล์ Windows SCR ซึ่งเมื่อถูกเรียกใช้งาน จะเปิดใช้งานชุดคำสั่งสามขั้นตอนอัตโนมัติ ขั้นตอนแรกคือดรอปเปอร์ขนาดเล็กที่พัฒนาเป็นไฟล์ไบนารีของ Golang ดรอปเปอร์ดังกล่าวบรรจุทรัพยากรฝังตัวสามรายการ หนึ่งในนั้นคือไฟล์ PDF ที่ไม่เป็นอันตรายซึ่งแสดงให้ผู้ใช้เห็นเป็นไฟล์หลอกลวง เพื่อให้กิจกรรมที่เป็นอันตรายทำงานโดยไม่ถูกตรวจพบในเบื้องหลัง

ห่วงโซ่การดำเนินการ

• ดรอปเปอร์ Golang ขนาดเล็ก (มี PDF ล่อลวงฝังอยู่และเพย์โหลดอื่น ๆ)
• ส่วนประกอบโหลดเดอร์ชื่อ MemLoad
• แบ็คดอร์ DLL สุดท้ายที่ชื่อว่า HttpTroy

ความคงอยู่และพฤติกรรมของโหลดเดอร์

MemLoad ซึ่งเป็นตัวโหลดจะทำงานพร้อมกันกับดรอปเปอร์ และจัดการทั้งการคงอยู่และการปรับใช้เพย์โหลด โดยจะสร้างงานตามกำหนดเวลาที่มีชื่อว่า 'AhnlabUpdate' ซึ่งเป็นความพยายามอย่างชัดเจนในการเลียนแบบ AhnLab เพื่อลดความน่าสงสัย และใช้งานนั้นเพื่อให้แน่ใจว่ามีการโหลดแบ็คดอร์อย่างต่อเนื่อง นอกจากนี้ MemLoad ยังรับผิดชอบในการถอดรหัสและฉีดแบ็คดอร์ DLL เข้าไปในพื้นที่กระบวนการโฮสต์เพื่อดำเนินการ

ความสามารถที่ Backdoor มอบให้

• อัพโหลดและดาวน์โหลดไฟล์โดยพลการไปยัง/จากโฮสต์เหยื่อ
• จับภาพหน้าจอเดสก์ท็อป
• ดำเนินการคำสั่งด้วยสิทธิ์ที่สูงกว่าและสร้างเชลล์ย้อนกลับ
• โหลดและรันไฟล์ปฏิบัติการโดยตรงในหน่วยความจำ (การทำงานแบบไม่มีไฟล์)
• ยุติกระบวนการและลบร่องรอยของกิจกรรม

การสั่งการและควบคุมและพฤติกรรมเครือข่าย

HttpTroy สื่อสารกับตัวควบคุมผ่าน HTTP ธรรมดา โดยส่งคำขอ POST ไปยังโดเมน C2 ที่ระบุว่าเป็น load.auraria.org การใช้ HTTP POST ทำให้การรับส่งข้อมูลเครือข่ายผสานกับการรับส่งข้อมูลเว็บปกติ เว้นแต่จะมีการกำหนดโปรไฟล์ไว้โดยเฉพาะ

เทคนิคการต่อต้านการวิเคราะห์และการบดบัง

อิมแพลนต์นี้ใช้มาตรการบดบังข้อมูลแบบหลายชั้นเพื่อขัดขวางการวิเคราะห์แบบคงที่และการตรวจจับลายเซ็น แทนที่จะฮาร์ดโค้ดชื่อและสตริง API มันจะซ่อนการเรียกใช้ API ผ่านรูทีนแฮชแบบกำหนดเอง และปกปิดข้อมูลที่เป็นข้อความด้วยการจัดการแบบ XOR และ SIMD ที่สำคัญคือ มัลแวร์จะไม่นำค่าแฮชหรือการเข้ารหัสสตริงเดิมมาใช้ซ้ำ มัลแวร์จะสร้างแฮชและสตริง API ที่จำเป็นขึ้นมาใหม่โดยอัตโนมัติโดยใช้การคำนวณทางคณิตศาสตร์และตรรกะที่หลากหลาย ซึ่งเพิ่มต้นทุนในการวิศวกรรมย้อนกลับและการสร้างลายเซ็น

การระบุแหล่งที่มาและบริบท

ตัวบ่งชี้พฤติกรรมและการกำหนดเป้าหมายสอดคล้องกับกิจกรรมของ Kimsuky การโจมตีครั้งนี้ดูเหมือนจะเป็นการโจมตีแบบเจาะจงเป้าหมายไปยังผู้รับชาวเกาหลีใต้ นักวิจัยไม่ได้เปิดเผยช่วงเวลาที่แน่ชัดของเหตุการณ์

บทสรุป

เพื่อตรวจจับและลดความเสี่ยงของการติดไวรัส HttpTroy ที่อาจเกิดขึ้น องค์กรต่างๆ ควรตรวจสอบระบบของตนอย่างใกล้ชิดเพื่อตรวจหางานตามกำหนดเวลาที่น่าสงสัย โดยเฉพาะอย่างยิ่งงานที่แอบอ้างว่าเป็นการอัปเดตจากผู้จำหน่ายที่ถูกต้องตามกฎหมาย ควรกำหนดค่าการป้องกันเครือข่ายเพื่อระบุและตั้งค่าสถานะการสื่อสาร HTTP POST ที่ส่งไปยังโดเมนภายนอกที่ไม่รู้จักหรือพบได้ยาก ซึ่งช่วยให้สามารถตรวจสอบข้อมูลที่ส่งได้อย่างละเอียดมากขึ้นเมื่อทำได้

นอกจากนี้ ทีมงานด้านความปลอดภัยยังได้รับคำแนะนำให้จำกัดหรือบล็อกการดำเนินการไฟล์ SCR ที่ไม่คาดคิดและไฟล์ไบนารี Golang ที่ไม่รู้จักในอุปกรณ์ปลายทาง นอกจากนี้ การปรับใช้โซลูชันการป้องกันอุปกรณ์ปลายทางที่แข็งแกร่งซึ่งสามารถระบุการดำเนินการโค้ดในหน่วยความจำและตรวจจับกิจกรรมการแทรกกระบวนการที่ผิดปกติ จะช่วยลดความเสี่ยงของการถูกโจมตีได้อย่างมาก