O grupo de ameaça vinculado à Coreia do Norte, conhecido como Kimsuky, distribuiu um backdoor até então desconhecido, batizado de HttpTroy, em um provável ataque de spear-phishing direcionado a uma única vítima na Coreia do Sul.
A empresa de segurança Gen Digital, responsável por revelar os detalhes da campanha, não informou quando o incidente ocorreu.
No entanto, destacou que o e-mail de phishing continha um arquivo ZIP com o nome “250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”, que se passava por uma fatura de VPN para disseminar um malware capaz de transferir arquivos, capturar screenshots e executar comandos arbitrários.
“A cadeia de infecção tem três etapas: um pequeno dropper, um loader chamado MemLoad e o backdoor final, chamado HttpTroy”, explicou o pesquisador de segurança Alexandru-Cristian Bardaș.
Dentro do arquivo ZIP havia um arquivo SCR com o mesmo nome, cuja execução iniciava a cadeia maliciosa.
O primeiro componente é um binário em Golang que traz embutidos três arquivos, entre eles um documento PDF falso exibido para a vítima, com o objetivo de evitar suspeitas.
Simultaneamente, em segundo plano, é ativado o MemLoad, responsável por garantir a persistência do malware no sistema por meio de uma tarefa agendada chamada “AhnlabUpdate”, numa tentativa de se passar pela AhnLab, empresa coreana de segurança cibernética.
Esse loader também realiza a descriptografia e execução da DLL backdoor HttpTroy.
Essa ferramenta oferece aos invasores controle total sobre o sistema infectado, permitindo upload e download de arquivos, captura de telas, execução de comandos com privilégios elevados, carregamento de executáveis na memória, shell reverso, encerramento de processos e remoção de rastros.
A comunicação com o servidor de comando e controle (C2) ocorre via requisições HTTP POST para o endereço “load.auraria[.]org”.
“HttpTroy utiliza múltiplas camadas de obfuscação para dificultar a análise e a detecção”, apontou Bardaș.
“Chamadas de API são protegidas por técnicas personalizadas de hashing, enquanto as strings são embaralhadas por meio de operações XOR combinadas com instruções SIMD.
Além disso, o backdoor evita reutilizar as hashes ou strings, reconstruindo-as dinamicamente durante sua execução por meio de diversas operações aritméticas e lógicas, o que dificulta ainda mais a análise estática.”
A Gen Digital também revelou detalhes sobre um ataque do grupo Lazarus, que resultou na implantação do malware Comebacker e de uma versão atualizada do trojan remoto BLINDINGCAN (também conhecido como AIRDRY ou ZetaNile).
O ataque teve como alvos duas vítimas no Canadá e foi identificado durante a “fase intermediária da cadeia de ataque”.
Apesar de o vetor inicial de acesso não estar confirmado, a avaliação é de que tenha ocorrido por phishing, já que não foram encontradas vulnerabilidades conhecidas exploradas para o ataque.
Foram usadas duas variantes diferentes do Comebacker — uma em DLL e outra em EXE —, sendo que a DLL é executada como serviço do Windows e o EXE via “cmd.exe”.
Independentemente do método, o objetivo principal é descriptografar um payload embutido (BLINDINGCAN) e instalá-lo como serviço.
O BLINDINGCAN tem como função estabelecer conexão com o servidor C2 “tronracing[.]com” e aguardar comandos para:
- Enviar e baixar arquivos
- Apagar arquivos
- Alterar atributos de arquivos para se passar por outros
- Enumerar recursivamente todos os arquivos e subdiretórios em um caminho especificado
- Coletar dados do sistema de arquivos
- Reunir metadados do sistema
- Listar processos em execução
- Executar comandos via CreateProcessW
- Executar binários diretamente na memória
- Rodar comandos via “cmd.exe”
- Encerrar processos específicos
- Capturar screenshots
- Tirar fotos usando dispositivos de captura de vídeo
- Atualizar configurações
- Alterar diretório de trabalho
- Apagar-se junto com todos os vestígios da atividade maliciosa
“Os grupos Kimsuky e Lazarus continuam aprimorando suas ferramentas, mostrando que os atores ligados à Coreia do Norte não estão apenas mantendo seus arsenais, mas reinventando-os”, destacou a Gen Digital.
“Essas campanhas revelam uma cadeia de infecção bem estruturada e multiestágios, que utiliza payloads obfuscados e mecanismos furtivos de persistência.”
“Desde os estágios iniciais até os backdoors finais, cada componente é projetado para evitar detecção, manter o acesso e prover controle extensivo sobre o sistema comprometido.
O uso de criptografia customizada, resolução dinâmica de APIs e exploração de registro de tarefas e serviços baseados em COM evidenciam a evolução técnica e a sofisticação contínua desses grupos.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...