Бекдор HttpTroy
Пов'язаного з Північною Кореєю актора, якого відстежували як Кімсукі, було помічено під час встановлення раніше небаченого бекдору, що відстежувався як «HttpTroy», проти однієї цілі в Південній Кореї. У розкритті інформації не було зазначено часових рамок, але дослідники повідомляють, що вторгнення почалося з ретельно розробленого фішингового пакета, який видавав себе за рахунок-фактуру VPN, щоб обманом змусити жертву відкрити шкідливий архів.
Зміст
Доставка та початкове виконання
Зараження почалося з ZIP-архіву, який видавав себе за рахунок-фактуру за VPN-обладнання. Усередині знаходився файл Windows SCR, який після виконання запускав автоматизований триетапний ланцюжок виконання. Перший етап — це невеликий дроппер, реалізований у вигляді бінарного файлу Golang. Цей дроппер містить три вбудовані ресурси, один з яких — це безпечний PDF-файл, що відображається користувачеві як приманка, щоб шкідлива активність працювала непомітно у фоновому режимі.
Ланцюг виконання
- Маленький піпетка Golang (містить вбудований PDF-файл-приманку та інші корисні навантаження)
- Компонент завантажувача з назвою MemLoad
- Фінальний бекдор DLL під назвою HttpTroy
Збереження та поведінка завантажувача
Завантажувач MemLoad працює одночасно з дроппером та обробляє збереження даних і розгортання корисного навантаження. Він створює заплановане завдання з назвою «AhnlabUpdate» — очевидна спроба імітувати AhnLab, щоб зменшити підозри — і використовує це завдання, щоб забезпечити постійне завантаження бекдора. MemLoad також відповідає за розшифровку та впровадження бекдора DLL у простір хост-процесу для виконання.
Можливості, що надаються бекдором
- Завантаження та вивантаження довільних файлів на/з хоста жертви
- Зробіть скріншоти робочого столу
- Виконання команд з підвищеними привілеями та створення зворотних оболонк
- Завантаження та запуск виконуваних файлів безпосередньо в пам'яті (безфайлове виконання)
- Завершити процеси та видалити сліди активності
Командно-контрольна система та мережева поведінка
HttpTroy взаємодіє зі своїм контролером через звичайний HTTP, надсилаючи POST-запити до домену C2, ідентифікованого як load.auraria.org. Використання HTTP POST призводить до змішування мережевого трафіку зі звичайним веб-трафіком, якщо не вказано інше.
Методи антианалізу та обфускації
Імплант використовує кілька багаторівневих заходів обфускації, щоб перешкодити статичному аналізу та виявленню сигнатур. Замість жорсткого кодування імен та рядків API, він приховує виклики API за допомогою користувацьких хеш-процедур та маскує текстові артефакти за допомогою маніпуляцій у стилі XOR та SIMD. Важливо, що він не використовує повторно ті самі хешовані значення або кодування рядків — шкідливе програмне забезпечення миттєво реконструює необхідні хеші та рядки API, використовуючи різні арифметичні та логічні операції, що збільшує вартість зворотного проектування та створення сигнатур.
Атрибуція та контекст
Поведінкові показники та таргетування узгоджують цю активність з Kimsuky. Атака, схоже, була цілеспрямованою фішинговою атакою, спрямованою на південнокорейського одержувача. Точний час інциденту дослідники не розголошували.
Висновок
Щоб виявити та зменшити потенційні зараження, пов’язані з HttpTroy, організаціям слід ретельно стежити за своїми системами на наявність будь-яких підозрілих запланованих завдань, особливо тих, що маскуються під легітимні оновлення постачальників. Мережевий захист слід налаштувати таким чином, щоб ідентифікувати та позначати HTTP POST-повідомлення, спрямовані на невідомі або незвичайні зовнішні домени, що дозволяє глибше перевіряти передані дані, коли це можливо.
Командам безпеки також рекомендується обмежувати або блокувати виконання неочікуваних SCR-файлів та нерозпізнаних бінарних файлів Golang на кінцевих точках. Крім того, розгортання надійних рішень для захисту кінцевих точок, здатних ідентифікувати виконання коду в пам'яті та виявляти аномальну активність ін'єкцій процесів, може значно зменшити ризик компрометації.
