HttpTroy バックドア
Kimsukyとして追跡されている北朝鮮関連のアクターが、韓国の単一の標的に対して、「HttpTroy」として追跡されている、これまで確認されていないバックドアを配信していることが確認されました。公開された情報には時系列は含まれていませんでしたが、研究者らは、侵入はVPN請求書を偽装した巧妙に作成されたフィッシングパッケージから始まり、被害者を騙して悪意のあるアーカイブを開かせたと報告しています。
目次
納品と初期実行
感染は、VPN機器の請求書を装ったZIPアーカイブから始まりました。中にはWindows SCRファイルが含まれていて、実行すると自動化された3段階の実行チェーンが起動します。第1段階は、Go言語バイナリとして実装された小さなドロッパーです。このドロッパーには3つの埋め込みリソースがあり、そのうちの1つは、悪意のあるアクティビティがバックグラウンドで気付かれずに実行されるように、ユーザーに表示される無害なPDFです。
実行チェーン
- 小さな Golang ドロッパー (埋め込まれたデコイ PDF やその他のペイロードが含まれています)
- MemLoad という名前のローダー コンポーネント
- 最終DLLバックドア「HttpTroy」
永続性とローダーの動作
ローダーであるMemLoadはドロッパーと並行して動作し、永続化とペイロードの展開を処理します。MemLoadは「AhnlabUpdate」というスケジュールタスクを作成します(これはAhnLabを模倣して疑いを晴らそうとする明らかな試みです)。このタスクを使用して、バックドアが継続的にロードされるようにします。また、MemLoadはDLLバックドアを復号し、ホストプロセス空間に挿入して実行させる役割も担っています。
バックドアによって提供される機能
- 被害者ホストとの間で任意のファイルをアップロードおよびダウンロードする
- デスクトップのスクリーンショットをキャプチャする
- 昇格した権限でコマンドを実行し、リバースシェルを起動する
- 実行ファイルをメモリに直接ロードして実行する(ファイルレス実行)
- プロセスを終了し、アクティビティの痕跡を削除する
コマンドアンドコントロールとネットワークの動作
HttpTroyは、load.auraria.orgとして識別されるC2ドメインにPOSTリクエストを送信することで、プレーンHTTP経由でコントローラーと通信します。HTTP POSTを使用するため、特別なプロファイリングが行われない限り、ネットワークトラフィックは通常のWebトラフィックと混ざり合います。
分析回避と難読化技術
このインプラントは、静的解析とシグネチャ検出を困難にするために、複数の階層的な難読化手段を用いています。API名や文字列をハードコードするのではなく、カスタムハッシュルーチンを使用してAPI呼び出しを隠蔽し、XORおよびSIMD形式の操作によってテキストアーティファクトを隠蔽します。重要なのは、同じハッシュ値や文字列エンコーディングを再利用しないことです。マルウェアは、必要なAPIハッシュと文字列を、さまざまな算術演算と論理演算を用いてリアルタイムで再構築するため、リバースエンジニアリングとシグネチャ作成のコストが増加します。
帰属と文脈
行動指標と標的設定から、この活動はKimsukyのものと一致する。この攻撃は、韓国の受信者を狙った標的型スピアフィッシング攻撃であると思われる。インシデントの正確な発生時期は、研究者らから公表されていない。
結論
HttpTroy による潜在的な感染を検知し、軽減するために、組織はシステムを綿密に監視し、特に正規のベンダーアップデートを装った不審なスケジュールタスクがないか確認する必要があります。ネットワーク防御は、未知または一般的ではない外部ドメイン宛ての HTTP POST 通信を識別してフラグ付けするように設定し、可能であれば送信データの詳細な検査を行う必要があります。
セキュリティチームは、エンドポイント全体で予期しないSCRファイルや認識されないGo言語バイナリの実行を制限またはブロックすることも推奨されます。さらに、メモリ内コード実行を識別し、異常なプロセスインジェクションアクティビティを検出できる堅牢なエンドポイント保護ソリューションを導入することで、侵害リスクを大幅に低減できます。
