Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Puerta trasera de HttpTroy

Puerta trasera de HttpTroy

Por Mezo en Software malicioso, Puertas traseras
Traducir a:

Se ha observado a un actor vinculado a Corea del Norte, identificado como Kimsuky, instalando una puerta trasera desconocida hasta ahora, denominada 'HttpTroy', contra un único objetivo en Corea del Sur. La información divulgada no incluye una cronología, pero los investigadores informan que la intrusión comenzó con un paquete de phishing cuidadosamente diseñado que suplantaba una factura de VPN para engañar a la víctima y lograr que abriera el archivo malicioso.

Entrega y ejecución inicial

La infección comenzó con un archivo ZIP que simulaba ser una factura de un equipo VPN. Dentro había un archivo SCR de Windows que, al ejecutarse, iniciaba una cadena de ejecución automatizada de tres etapas. La primera etapa consiste en un pequeño programa de instalación implementado como un binario de Golang. Este programa contiene tres recursos incrustados, uno de los cuales es un PDF inofensivo que se muestra al usuario como señuelo para que la actividad maliciosa se ejecute en segundo plano sin ser detectada.

La cadena de ejecución

  • Pequeño programa de descarga en Golang (contiene un PDF señuelo incrustado y otras cargas útiles)
  • Componente de carga llamado MemLoad
  • Puerta trasera DLL final denominada HttpTroy

Persistencia y comportamiento del cargador

El cargador, MemLoad, se ejecuta simultáneamente con el instalador y gestiona la persistencia y el despliegue del código malicioso. Crea una tarea programada llamada «AhnlabUpdate» —un intento evidente de imitar a AhnLab para reducir las sospechas— y la utiliza para garantizar que la puerta trasera se cargue continuamente. MemLoad también se encarga de descifrar e inyectar la puerta trasera DLL en el espacio de procesos del host para su ejecución.

Funcionalidades proporcionadas por la puerta trasera

  • Cargar y descargar archivos arbitrarios desde/hacia el host de la víctima
  • Captura capturas de pantalla del escritorio
  • Ejecutar comandos con privilegios elevados y generar shells inversas.
  • Cargar y ejecutar archivos ejecutables directamente en memoria (ejecución sin archivos)
  • Finalizar procesos y eliminar rastros de actividad

Comando y control y comportamiento de la red

HttpTroy se comunica con su controlador mediante HTTP sin cifrar, enviando solicitudes POST a un dominio C2 identificado como load.auraria.org. El uso de HTTP POST hace que el tráfico de red se mezcle con el tráfico web normal, a menos que se analice específicamente.

Técnicas de antianálisis y ofuscación

El implante utiliza varias capas de ofuscación para dificultar el análisis estático y la detección de firmas. En lugar de codificar directamente los nombres y cadenas de la API, oculta las llamadas a la API mediante rutinas hash personalizadas y enmascara los artefactos textuales con manipulaciones XOR y SIMD. Es importante destacar que no reutiliza los mismos valores hash ni las codificaciones de cadenas; el malware reconstruye dinámicamente los hashes y cadenas de la API necesarios mediante diversas operaciones aritméticas y lógicas, lo que incrementa el coste de la ingeniería inversa y la creación de firmas.

Atribución y contexto

Los indicadores de comportamiento y la segmentación concuerdan con Kimsuky. El ataque parece ser un spear-phishing dirigido a un destinatario surcoreano. Los investigadores no revelaron la hora exacta del incidente.

Conclusión

Para detectar y mitigar posibles infecciones relacionadas con HttpTroy, las organizaciones deben supervisar atentamente sus sistemas en busca de tareas programadas sospechosas, especialmente aquellas que se hacen pasar por actualizaciones legítimas de proveedores. Las defensas de la red deben configurarse para identificar y marcar las comunicaciones HTTP POST dirigidas a dominios externos desconocidos o poco comunes, lo que permite una inspección más exhaustiva de los datos transmitidos cuando sea posible.

También se recomienda a los equipos de seguridad restringir o bloquear la ejecución de archivos SCR inesperados y binarios de Golang no reconocidos en los endpoints. Además, implementar soluciones robustas de protección de endpoints capaces de identificar la ejecución de código en memoria y detectar actividades anómalas de inyección de procesos puede reducir significativamente el riesgo de vulneración.

Tendencias

Mas Visto

Cargando...