Kimsuky olarak bilinen Kuzey Kore bağlantılı tehdit aktörü, Güney Kore’deki tek bir kurbanı hedef alan olası bir hedef odaklı kimlik avı saldırısının parçası olarak daha önce belgelenmemiş kod adı HttpTroy olan bir arka kapı dağıttı.
Etkinliğin ayrıntılarını açıklayan Gen Digital, olayın ne zaman gerçekleştiğine dair herhangi bir ayrıntı açıklamadı ancak kimlik avı e-postasının, dosya aktarma, ekran görüntüsü alma ve yürütme yeteneğine sahip kötü amaçlı yazılımları dağıtmak için bir VPN faturası gibi görünen bir ZIP dosyası (“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”) içerdiğini belirtti. keyfi komutlar.
Güvenlik araştırmacısı Alexandru-Cristian Bardaș, “Zincirin üç adımı var: küçük bir damlalık, MemLoad adlı bir yükleyici ve ‘HttpTroy’ adlı son arka kapı.” dedi.
ZIP arşivinde, herhangi bir şüphe uyandırmamak için kurbana gösterilen sahte bir PDF belgesi de dahil olmak üzere üç gömülü dosya içeren bir Golang ikili dosyasıyla başlayan, yürütme zincirini tetikleyen açılışla aynı adı taşıyan bir SCR dosyası mevcut.
Aynı zamanda arka planda eşzamanlı olarak başlatılan MemLoad, Güney Koreli bir siber güvenlik şirketi olan AhnLab’ın kimliğine bürünme ve DLL arka kapısının (“HttpTroy”) şifresini çözüp yürütme girişimi olan “AhnlabUpdate” adlı zamanlanmış bir görev aracılığıyla ana bilgisayarda kalıcılığın ayarlanmasından sorumludur.
İmplant, saldırganların ele geçirilen sistem üzerinde tam kontrol sahibi olmasına, dosya yükleme/indirme, ekran görüntüsü yakalama, yükseltilmiş ayrıcalıklarla komut yürütme, yürütülebilir dosyaların bellek içi yüklenmesi, ters kabuk, işlem sonlandırma ve iz kaldırma işlemlerine olanak sağlamasına olanak tanır. Komuta ve kontrol (C2) sunucusuyla (“load.auraria) iletişim kurar.[.]org”) HTTP POST istekleri üzerinden.
Bardaş, “HttpTroy, analiz ve algılamayı engellemek için birden fazla gizleme katmanı kullanıyor” diye açıkladı. “API çağrıları, özel karma teknikleri kullanılarak gizlenirken, dizeler XOR işlemleri ve SIMD talimatlarının bir kombinasyonu aracılığıyla gizlenir. Özellikle, arka kapı, API karmalarının ve dizelerinin yeniden kullanılmasını önler. Bunun yerine, bunları çeşitli aritmetik ve mantıksal işlem kombinasyonlarını kullanarak çalışma zamanı sırasında dinamik olarak yeniden yapılandırır ve statik analizi daha da karmaşık hale getirir.”
Bulgular, siber güvenlik sağlayıcısının aynı zamanda Comebacker’ın ve BLINDINGCAN (diğer adıyla AIRDRY veya ZetaNile) uzaktan erişim trojanının yükseltilmiş bir versiyonunun konuşlandırılmasına yol açan bir Lazarus Grubu saldırısının ayrıntılarını vermesiyle ortaya çıktı. Saldırının Kanada’daki iki kurbanı hedef aldığı ve “saldırı zincirinin ortasında” tespit edildiği belirtildi.
Saldırıda kullanılan ilk erişim vektörü tam olarak bilinmese de, bir yer kazanmak için istismar edilebilecek herhangi bir bilinen güvenlik açığının bulunmaması nedeniyle bunun bir kimlik avı e-postası olduğu değerlendiriliyor.
Comebacker’ın iki farklı çeşidi (biri DLL ve diğeri EXE olarak) kullanıma sunuldu; ilki bir Windows hizmeti aracılığıyla, ikincisi ise “cmd.exe” aracılığıyla başlatıldı. Bunları yürütmek için kullanılan yönteme bakılmaksızın, kötü amaçlı yazılımın nihai hedefi aynıdır: gömülü bir veri yükünün (ör. BLINDINGCAN) şifresini çözmek ve onu bir hizmet olarak dağıtmak.
BLINDINGCAN, uzak bir C2 sunucusuyla (“tronracing) bağlantı kurmak için tasarlanmıştır.[.]com”) ve şunları yapmasına izin veren diğer talimatları bekleyin:
- Dosya yükleme/indirme
- Dosyaları sil
- Başka bir dosyayı taklit etmek için bir dosyanın niteliklerini değiştirin
- Belirli bir yol için tüm dosyaları ve alt dizinleri yinelemeli olarak numaralandırın
- Tüm dosya sistemindeki dosyalar hakkında veri toplayın
- Sistem meta verilerini toplayın
- Çalışan işlemleri listeleyin
- CreateProcessW kullanarak bir komut satırı çalıştırın
- İkili dosyaları doğrudan bellekte yürütün
- “Cmd.exe”yi kullanarak komutları yürütün
- Giriş olarak bir işlem kimliğini ileterek belirli bir işlemi sonlandırın
- Ekran görüntüleri al
- Mevcut video yakalama cihazlarından fotoğraf çekin
- Yapılandırmayı güncelle
- Geçerli çalışma dizinini değiştir
- Kendini sil ve kötü amaçlı etkinliğin tüm izlerini kaldır
Gen Digital, “Kimsuky ve Lazarus, Kuzey Kore bağlantılı aktörlerin sadece cephaneliklerini korumakla kalmayıp onları yeniden icat ettiklerini göstererek araçlarını geliştirmeye devam ediyor” dedi. “Bu kampanyalar, gizlenmiş yüklerden ve gizli kalıcılık mekanizmalarından yararlanan, iyi yapılandırılmış ve çok aşamalı bir enfeksiyon zincirini ortaya koyuyor.”
“İlk aşamalardan son arka kapılara kadar her bileşen, tespitten kaçınmak, erişimi sürdürmek ve ele geçirilen sistem üzerinde kapsamlı kontrol sağlamak üzere tasarlandı. Özel şifreleme, dinamik API çözünürlüğü ve COM tabanlı görev kaydı/hizmetlerden yararlanma kullanımı, grupların devam eden gelişimini ve teknik gelişmişliğini vurguluyor.”