Cửa hậu HttpTroy

Một tin tặc có liên hệ với Triều Tiên, được theo dõi với tên Kimsuky, đã bị phát hiện đang phát tán một backdoor chưa từng thấy trước đây, được đặt tên là 'HttpTroy', nhắm vào một mục tiêu duy nhất tại Hàn Quốc. Thông tin không nêu rõ thời gian cụ thể, nhưng các nhà nghiên cứu cho biết vụ xâm nhập bắt đầu bằng một gói tin lừa đảo được thiết kế cẩn thận, giả mạo hóa đơn VPN để lừa nạn nhân mở kho lưu trữ độc hại.

Giao hàng và thực hiện ban đầu

Quá trình lây nhiễm bắt đầu bằng một tệp ZIP giả dạng hóa đơn mua thiết bị VPN. Bên trong là một tệp SCR của Windows, khi được thực thi, sẽ khởi chạy một chuỗi thực thi ba giai đoạn tự động. Giai đoạn đầu tiên là một dropper nhỏ được triển khai dưới dạng nhị phân Golang. Dropper này mang theo ba tài nguyên nhúng, một trong số đó là một tệp PDF vô hại được hiển thị cho người dùng như một mồi nhử để hoạt động độc hại diễn ra trong nền mà không bị phát hiện.

Chuỗi thực thi

• Dropper Golang nhỏ (chứa PDF giả mạo nhúng và các phần tải trọng khác)
• Thành phần tải có tên MemLoad
• Cửa hậu DLL cuối cùng được gọi là HttpTroy

Tính bền bỉ và hành vi tải

Trình tải, MemLoad, chạy đồng thời với dropper và xử lý tính bền bỉ và triển khai tải trọng. Nó tạo ra một tác vụ được lên lịch có nhãn 'AhnlabUpdate' — một nỗ lực rõ ràng nhằm bắt chước AhnLab để giảm nghi ngờ — và sử dụng tác vụ đó để đảm bảo backdoor được tải liên tục. MemLoad cũng chịu trách nhiệm giải mã và đưa backdoor DLL vào không gian quy trình máy chủ để thực thi.

Khả năng được cung cấp bởi Backdoor

• Tải lên và tải xuống các tệp tùy ý đến/từ máy chủ nạn nhân
• Chụp ảnh màn hình máy tính để bàn
• Thực thi các lệnh với đặc quyền nâng cao và tạo ra các shell đảo ngược
• Tải và chạy các tệp thực thi trực tiếp trong bộ nhớ (thực thi không cần tệp)
• Kết thúc các tiến trình và xóa dấu vết hoạt động

Hành vi chỉ huy và kiểm soát và mạng lưới

HttpTroy giao tiếp với bộ điều khiển của nó qua HTTP thông thường bằng cách gửi yêu cầu POST đến một miền C2 được xác định là load.auraria.org. Việc sử dụng HTTP POST khiến lưu lượng mạng bị trộn lẫn với lưu lượng web thông thường, trừ khi được lập hồ sơ cụ thể.

Kỹ thuật chống phân tích và làm tối nghĩa

Phần mềm độc hại này sử dụng nhiều biện pháp che giấu lớp để vô hiệu hóa phân tích tĩnh và phát hiện chữ ký. Thay vì mã hóa cứng tên và chuỗi API, nó ẩn các lệnh gọi API thông qua các hàm băm tùy chỉnh và che giấu các hiện vật văn bản bằng các thao tác kiểu XOR và SIMD. Quan trọng là, nó không sử dụng lại cùng một giá trị băm hoặc mã hóa chuỗi — phần mềm độc hại này tái tạo các hàm băm và chuỗi API cần thiết một cách nhanh chóng bằng các phép toán số học và logic khác nhau, làm tăng chi phí cho kỹ thuật đảo ngược và tạo chữ ký.

Sự quy kết và bối cảnh

Các chỉ số hành vi và mục tiêu nhắm đến cho thấy hoạt động này có liên quan đến Kimsuky. Cuộc tấn công dường như là một cuộc tấn công lừa đảo nhắm vào một người dùng Hàn Quốc. Thời điểm chính xác của vụ việc không được các nhà nghiên cứu công bố.

Phần kết luận

Để phát hiện và giảm thiểu nguy cơ lây nhiễm liên quan đến HttpTroy, các tổ chức nên giám sát chặt chẽ hệ thống của mình để phát hiện bất kỳ tác vụ theo lịch trình đáng ngờ nào, đặc biệt là những tác vụ ngụy trang thành bản cập nhật hợp pháp của nhà cung cấp. Hệ thống phòng thủ mạng nên được cấu hình để xác định và đánh dấu các giao tiếp HTTP POST hướng đến các miền bên ngoài không xác định hoặc không phổ biến, cho phép kiểm tra sâu hơn dữ liệu được truyền đi khi có thể.

Các nhóm bảo mật cũng được khuyến cáo nên hạn chế hoặc chặn việc thực thi các tệp SCR không mong muốn và các tệp nhị phân Golang không được nhận dạng trên các điểm cuối. Ngoài ra, việc triển khai các giải pháp bảo vệ điểm cuối mạnh mẽ có khả năng xác định việc thực thi mã trong bộ nhớ và phát hiện hoạt động chèn quy trình bất thường có thể giảm đáng kể nguy cơ bị xâm phạm.