Un actor vinculado a Corea del Norte conocido como Kimsuky distribuyó una puerta trasera previamente indocumentada con nombre en código HttpTroy como parte de un ataque de phishing dirigido a una víctima en Corea del Sur.
Gen Digital, que reveló los detalles de la actividad, no dijo cuándo ocurrió el incidente, pero el correo electrónico de phishing contenía un archivo ZIP («250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip») que se usó para crear una VPN para distribuir malware que puede transferir archivos, capturar capturas de pantalla y ejecutar. Le señalé que estaba disfrazado de factura. cualquier comando.
«Hay tres pasos en la cadena: un pequeño gotero, un cargador llamado MemLoad y una puerta trasera final llamada ‘HttpTroy'», dijo el investigador de seguridad Alexandre Cristian Bardas.
Existe un archivo SCR con el mismo nombre dentro del archivo ZIP. Abrir este archivo desencadenará una cadena de ejecución. El binario inicial de Golang contiene tres archivos incrustados, incluido un documento PDF señuelo que se muestra a la víctima para evitar sospechas.
MemLoad, que también se inicia en segundo plano al mismo tiempo, es responsable de configurar la persistencia en el host a través de una tarea programada llamada «AhnlabUpdate». Este es un intento de descifrar y ejecutar una puerta trasera DLL (“HttpTroy”) que se hace pasar por AhnLab, una empresa de ciberseguridad de Corea del Sur.
Este implante le brinda al atacante un control total sobre un sistema comprometido, permitiéndole cargar/descargar archivos, capturar capturas de pantalla, ejecutar comandos con privilegios elevados, cargar archivos ejecutables en la memoria, invertir el shell, finalizar procesos y eliminar rastros. Se comunica con un servidor de comando y control (C2) (‘load.auraria(.)org’) a través de una solicitud HTTP POST.
«HttpTroy emplea múltiples capas de ofuscación para dificultar el análisis y la detección», explicó Bardas. «Las llamadas API se ocultan mediante técnicas de hash personalizadas, y las cadenas se ofuscan mediante una combinación de operaciones XOR e instrucciones SIMD. En particular, la puerta trasera evita la reutilización de hashes y cadenas API. En cambio, las reconstruye dinámicamente en tiempo de ejecución utilizando varias combinaciones de operaciones aritméticas y lógicas, lo que complica aún más el análisis estático».
Los hallazgos se producen cuando el proveedor de ciberseguridad también detalló los ataques del Grupo Lazarus que llevaron al despliegue de una versión mejorada de Comebacker y su troyano de acceso remoto BLINDINGCAN (también conocido como AIRDRY o ZetaNile). Añadió que el ataque tuvo como objetivo dos víctimas en Canadá y fue detectado «a mitad de camino de la cadena de ataque».
Aunque se desconoce el vector de acceso inicial exacto utilizado en el ataque, se ha evaluado como un correo electrónico de phishing debido a la falta de vulnerabilidades de seguridad conocidas que podrían haberse aprovechado para afianzarse.
Comebacker utiliza dos variantes diferentes (una como DLL y otra como EXE), la primera se inicia a través de los servicios de Windows y la segunda se inicia a través de ‘cmd.exe’. Independientemente del método utilizado para la ejecución, el objetivo final del malware es el mismo. Es decir, descifrar la carga útil incorporada (BLINDINGCAN) e implementarla como un servicio.
BLINDINGCAN está diseñado para establecer una conexión con un servidor C2 remoto (‘tronracing(.)com’) y esperar instrucciones adicionales que le permitan:
Cargar/descargar archivos Eliminar archivos Modificar atributos de archivos para imitar otro archivo Enumerar recursivamente todos los archivos y subdirectorios en una ruta específica Archivos Recopilar datos sobre archivos en todo el sistema Recopilar metadatos del sistema Enumerar procesos en ejecución Ejecutar una línea de comando usando CreateProcessW Ejecutar un binario directamente en la memoria Ejecutar un comando usando «cmd.exe» Terminar un proceso específico pasando el ID del proceso como entrada Tomar una captura de pantalla Tomar fotografías de los dispositivos de captura de video disponibles Actualizar la configuración Cambiar el directorio de trabajo actual Eliminarse y eliminar todos los rastros de actividad maliciosa
«Kimsky y Lazarus continúan perfeccionando sus herramientas, demostrando que los actores asociados con Corea del Norte no sólo mantienen sus armas, sino que las reinventan», dijo GenDigital. «Estas campañas exhiben cadenas de infección de varios pasos bien estructuradas que aprovechan cargas útiles ofuscadas y mecanismos de persistencia sigilosos».
«Desde las etapas iniciales hasta la puerta trasera final, cada componente está diseñado para evadir la detección, mantener el acceso y proporcionar un amplio control sobre los sistemas comprometidos. El uso de cifrado personalizado, resolución API dinámica y el aprovechamiento de servicios/registro de tareas basados en COM resalta la evolución continua y la sofisticación de su tecnología del grupo».
Source link
