Nhóm tấn công mạng có liên hệ với Triều Tiên, được biết đến với tên gọi Kimsuky, đã phát tán một backdoor mới chưa từng được ghi nhận, có tên mã HttpTroy, như một phần của cuộc tấn công spear-phishing có khả năng nhắm mục tiêu vào một nạn nhân duy nhất ở Hàn Quốc.
Gen Digital, đơn vị đã tiết lộ chi tiết về hoạt động này, không cung cấp thông tin chi tiết về thời điểm xảy ra vụ việc, nhưng lưu ý rằng email lừa đảo chứa một tệp ZIP ("250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip"). Tệp này mạo danh là một hóa đơn VPN để phân phối mã độc có khả năng file transfer, chụp màn hình và thực thi các arbitrary commands.
"Chuỗi tấn công có ba bước: một dropper nhỏ, một loader tên là MemLoad và backdoor cuối cùng, có tên 'HttpTroy'," nhà nghiên cứu bảo mật Alexandru-Cristian Bardaș cho biết.
Có mặt trong tệp lưu trữ ZIP là một SCR file cùng tên, khi mở ra sẽ kích hoạt chuỗi thực thi, bắt đầu bằng một Golang binary chứa ba tệp nhúng, bao gồm một decoy PDF document được hiển thị cho nạn nhân để tránh gây nghi ngờ.
Đồng thời, MemLoad cũng được khởi chạy ngầm trong background, chịu trách nhiệm thiết lập persistence trên host bằng cách tạo một scheduled task có tên "AhnlabUpdate" – một nỗ lực để mạo danh AhnLab, một công ty cybersecurity của Hàn Quốc – và decrypt cũng như execute backdoor DLL ("HttpTroy").
Implant này cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn hệ thống bị compromised, enabling file upload/download, screenshot capture, command execution với elevated privileges, in-memory loading of executables, reverse shell, process termination, và trace removal. Nó giao tiếp với command-and-control (C2) server ("load.auraria[.]org") qua các HTTP POST requests.
"HttpTroy employs multiple layers of obfuscation to hinder analysis and detection," Bardaș explained. "API calls are concealed using custom hashing techniques, while strings are obfuscated through a combination of XOR operations and SIMD instructions. Notably, the backdoor avoids reusing API hashes and strings. Instead, it dynamically reconstructs them during runtime using varied combinations of arithmetic and logical operations, further complicating static analysis."
Những phát hiện này được đưa ra khi nhà cung cấp cybersecurity cũng chi tiết về một cuộc tấn công của Lazarus Group dẫn đến việc triển khai Comebacker và phiên bản nâng cấp của remote access trojan BLINDINGCAN (hay còn gọi là AIRDRY hoặc ZetaNile) của nhóm này. Cuộc tấn công nhắm vào hai nạn nhân ở Canada và được phát hiện "ở giữa attack chain", Gen Digital cho biết thêm.
Chiến thuật Truy cập Ban đầu và Cơ chế Triển khai
Mặc dù initial access vector được sử dụng trong cuộc tấn công không được biết chính xác, nhưng nó được đánh giá là một phishing email dựa trên việc không có bất kỳ security vulnerabilities nào đã biết có thể bị exploited để giành được chỗ đứng.
Hai biến thể khác nhau của Comebacker – một dưới dạng DLL và một dưới dạng EXE – đã được sử dụng, trong đó biến thể trước được khởi chạy qua một Windows service và biến thể sau thông qua "cmd.exe". Bất kể phương pháp thực thi nào được sử dụng, mục tiêu cuối cùng của malware là như nhau: giải mã một payload nhúng (tức là BLINDINGCAN) và triển khai nó dưới dạng một service.
Khả năng của BLINDINGCAN
BLINDINGCAN được thiết kế để thiết lập kết nối với một C2 server từ xa ("tronracing[.]com") và chờ đợi các hướng dẫn tiếp theo cho phép nó -
- Upload/download files
- Delete files
- Alter a file's attributes to mimic another file
- Recursively enumerate all files and sub-directories for a specified path
- Gather data about files across the entire file system
- Collect system metadata
- List running processes
- Run a command-line using CreateProcessW
- Execute binaries directly in memory
- Execute commands using "cmd.exe"
- Terminate a specific process by passing a process ID as input
- Take screenshots
- Take pictures from the available video capture devices
- Update configuration
- Change current working directory
- Delete itself and remove all traces of malicious activity
"Kimsuky và Lazarus continue to sharpen their tools, showing that DPRK-linked actors aren't just maintaining their arsenals, they're reinventing them," Gen Digital said. "These campaigns demonstrate a well-structured and multi-stage infection chain, leveraging obfuscated payloads and stealthy persistence mechanisms."
"From the initial stages to the final backdoors, each component is designed to evade detection, maintain access and provide extensive control over the compromised system. The use of custom encryption, dynamic API resolution and COM-based task registration/services exploitation highlights the groups' continued evolution and technical sophistication."
