De met Noord-Korea verbonden bedreigingsacteur, bekend als Kimsuky, heeft een voorheen ongedocumenteerde achterdeur met de codenaam HttpTroy verspreid als onderdeel van een waarschijnlijke spearphishing-aanval gericht op één enkel slachtoffer in Zuid-Korea.
Gen Digital, dat details van de activiteit bekendmaakte, onthulde geen details over wanneer het incident plaatsvond, maar merkte op dat de phishing-e-mail een ZIP-bestand bevatte (“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”), dat zich voordeed als een VPN-factuur om malware te verspreiden die in staat was tot bestandsoverdracht, het vastleggen van schermafbeeldingen en het uitvoeren van willekeurige opdrachten.
“De ketting bestaat uit drie stappen: een kleine druppelaar, een lader genaamd MemLoad en de laatste achterdeur, genaamd ‘HttpTroy'”, zei beveiligingsonderzoeker Alexandru-Cristian Bardaș.
In het ZIP-archief bevindt zich een SCR-bestand met dezelfde naam, dat de uitvoeringsketen in gang heeft gezet, te beginnen met een Golang-binair bestand met drie ingebedde bestanden, waaronder een lok-PDF-document dat aan het slachtoffer wordt getoond om geen argwaan te wekken.
Tegelijkertijd op de achtergrond wordt MemLoad gelanceerd, dat verantwoordelijk is voor het opzetten van persistentie op de host door middel van een geplande taak genaamd “AhnlabUpdate”, een poging om zich voor te doen als AhnLab, een Zuid-Koreaans cyberbeveiligingsbedrijf, en de DLL-backdoor te decoderen en uit te voeren (“HttpTroy”).
Het implantaat stelt de aanvallers in staat volledige controle te krijgen over het gecompromitteerde systeem, waardoor het uploaden/downloaden van bestanden, het vastleggen van schermafbeeldingen, het uitvoeren van opdrachten met verhoogde rechten, het in het geheugen laden van uitvoerbare bestanden, het omkeren van de shell, het beëindigen van processen en het verwijderen van sporen mogelijk worden. Het communiceert met de command-and-control (C2)-server (“load.auraria(.)org”) via HTTP POST-verzoeken.
“HttpTroy maakt gebruik van meerdere verduisteringslagen om analyse en detectie te belemmeren”, legt Bardaș uit. “API-aanroepen worden verborgen met behulp van aangepaste hashtechnieken, terwijl strings worden verduisterd door een combinatie van XOR-bewerkingen en SIMD-instructies. Met name vermijdt de achterdeur het hergebruik van API-hashes en strings. In plaats daarvan reconstrueert het deze dynamisch tijdens runtime met behulp van gevarieerde combinaties van rekenkundige en logische bewerkingen, wat de statische analyse nog ingewikkelder maakt.”
De bevindingen komen nadat de cyberbeveiligingsleverancier ook een aanval van de Lazarus Group had beschreven die leidde tot de inzet van Comebacker en een verbeterde versie van zijn BLINDINGCAN (ook bekend als AIRDRY of ZetaNile) trojan voor externe toegang. De aanval was gericht op twee slachtoffers in Canada en werd gedetecteerd in het “midden van de aanvalsketen”, voegde het eraan toe.
Hoewel de exacte initiële toegangsvector die bij de aanval wordt gebruikt niet bekend is, wordt aangenomen dat het een phishing-e-mail is op basis van de afwezigheid van bekende beveiligingsproblemen die kunnen worden uitgebuit om voet aan de grond te krijgen.
Er zijn twee verschillende varianten van Comebacker – een als DLL en een andere als EXE – in gebruik genomen, waarbij de eerste wordt gelanceerd via een Windows-service en de laatste via “cmd.exe”. Ongeacht de methode die wordt gebruikt om ze uit te voeren, is het einddoel van de malware hetzelfde: een ingebedde payload (dwz BLINDINGCAN) ontsleutelen en deze als een service inzetten.
BLINDINGCAN is ontworpen om een verbinding tot stand te brengen met een externe C2-server (“tronracing(.)com”) en te wachten op verdere instructies waarmee het –
- Bestanden uploaden/downloaden
- Bestanden verwijderen
- Wijzig de kenmerken van een bestand om een ander bestand na te bootsen
- Som op recursieve wijze alle bestanden en submappen op voor een opgegeven pad
- Verzamel gegevens over bestanden over het gehele bestandssysteem
- Verzamel systeemmetagegevens
- Maak een lijst van actieve processen
- Voer een opdrachtregel uit met CreateProcessW
- Voer binaire bestanden rechtstreeks in het geheugen uit
- Voer opdrachten uit met “cmd.exe”
- Beëindig een specifiek proces door een proces-ID als invoer door te geven
- Maak schermafbeeldingen
- Maak foto’s vanaf de beschikbare video-opnameapparaten
- Configuratie bijwerken
- Wijzig de huidige werkmap
- Verwijdert zichzelf en verwijdert alle sporen van kwaadaardige activiteiten
“Kimsuky en Lazarus blijven hun instrumenten aanscherpen, wat aantoont dat aan de DVK gelinkte actoren niet alleen hun arsenaal behouden, maar ze opnieuw uitvinden”, aldus Gen Digital. “Deze campagnes demonstreren een goed gestructureerde en uit meerdere fasen bestaande infectieketen, waarbij gebruik wordt gemaakt van versluierde ladingen en heimelijke persistentiemechanismen.”
“Vanaf de beginfase tot aan de laatste achterdeur is elk onderdeel ontworpen om detectie te omzeilen, toegang te behouden en uitgebreide controle te bieden over het gecompromitteerde systeem. Het gebruik van aangepaste encryptie, dynamische API-resolutie en COM-gebaseerde taakregistratie/dienstenexploitatie benadrukt de voortdurende evolutie en technische verfijning van de groep.”
