HackerNews 编译,转载请注明出处:
与朝鲜有关联的威胁行为体 “金 Suky”(Kimsuky),已分发一款此前未被记录的后门程序,其代号为 “HttpTroy”。此次攻击很可能是针对性钓鱼攻击,目标为韩国的一名单独受害者。
披露该活动细节的 Gen Digital 公司,未透露事件发生的具体时间,但指出钓鱼邮件中包含一个 ZIP 压缩文件(文件名:“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”)。该文件伪装成 VPN 账单,用于分发恶意软件,此恶意软件可实现文件传输、截屏以及执行任意命令的功能。
安全研究员亚历山德鲁 – 克里斯蒂安・巴尔达什(Alexandru-Cristian Bardaș)表示:“该攻击链包含三个步骤:一个小型投放程序、一个名为 MemLoad 的加载程序,以及最终的后门程序‘HttpTroy’。”
ZIP 压缩包内包含一个与压缩包同名的 SCR 文件(屏幕保护程序文件)。打开该文件会触发执行链,首先运行的是一个 Go 语言(Golang)二进制文件,该文件包含三个嵌入文件,其中包括一个伪装 PDF 文档。此文档会向受害者展示,以避免引起任何怀疑。
与此同时,后台会同步启动 MemLoad 程序。该程序负责在受感染主机上建立持久化机制,具体方式是创建一个名为 “AhnlabUpdate” 的计划任务。这一命名是为了伪装成韩国网络安全公司安博士(AhnLab)的程序,进而解密并执行 DLL 格式的后门程序 “HttpTroy”。
该植入程序能让攻击者完全控制受感染系统,支持的操作包括文件上传 / 下载、截屏、以高权限执行命令、在内存中加载可执行文件、建立反向 shell、终止进程以及清除痕迹。它通过 HTTP POST 请求与命令控制(C2)服务器(域名:“load.auraria [.] org”)进行通信。
巴尔达什解释道:“HttpTroy 采用多层混淆技术,以阻碍对其的分析和检测。API 调用通过自定义哈希技术隐藏,字符串则通过异或(XOR)运算与单指令多数据(SIMD)指令相结合的方式进行混淆。值得注意的是,该后门程序不会重复使用 API 哈希值和字符串,而是在运行时通过各种算术运算和逻辑运算的组合动态重构它们,这进一步增加了静态分析的难度。”
除上述发现外,这家网络安全厂商还详细介绍了 “拉撒路集团”(Lazarus Group)的一起攻击事件。该攻击导致 “Comebacker” 恶意程序以及其 “BLINDINGCAN” 远程访问木马(又称 AIRDRY 或 ZetaNile)的升级版被部署。厂商补充称,此次攻击针对加拿大的两名受害者,且在 “攻击链中段” 被检测到。
目前尚不清楚该攻击所使用的具体初始访问途径,但基于未发现可被利用以获取立足点的已知安全漏洞,研究人员判断初始途径应为钓鱼邮件。
攻击中使用了 “Comebacker” 的两个不同变体,一个是 DLL 格式,另一个是 EXE 格式。前者通过 Windows 服务启动,后者通过 “cmd.exe” 命令行启动。无论采用何种执行方式,该恶意软件的最终目标一致:解密嵌入的有效载荷(即 BLINDINGCAN),并将其作为服务部署。
BLINDINGCAN 的设计目的是与远程 C2 服务器(域名:“tronracing [.] com”)建立连接,并等待进一步指令。这些指令支持的操作包括:
- 上传 / 下载文件删除文件修改文件属性以伪装成其他文件递归枚举指定路径下的所有文件和子目录收集整个文件系统中的文件相关数据收集系统元数据列出正在运行的进程通过 CreateProcessW 函数运行命令行在内存中直接执行二进制文件通过 “cmd.exe” 执行命令传入进程 ID 以终止特定进程截屏通过可用的视频捕获设备拍照更新配置更改当前工作目录自行删除并清除所有恶意活动痕迹
Gen Digital 公司表示:“金 Suky(Kimsuky)和拉撒路集团(Lazarus)持续改进其工具,这表明与朝鲜(DPRK)有关联的行为体不仅在维护其攻击武器库,还在对其进行革新。这些攻击活动展现出结构完善的多阶段感染链,并利用了经过混淆处理的有效载荷和隐蔽的持久化机制。”
“从攻击初始阶段到最终部署的后门程序,每个组件的设计目的都是规避检测、维持访问权限,并实现对受感染系统的全面控制。自定义加密、动态 API 解析以及基于组件对象模型(COM)的任务注册 / 服务利用等技术的应用,凸显出这些组织在技术上的持续演进和成熟。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
