El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha distribuido una puerta trasera previamente indocumentada con el nombre en código HttpTroy como parte de un probable ataque de spear-phising dirigido a una sola víctima en Corea del Sur.
Gen Digital, que detalles revelados de la actividad, no reveló ningún detalle sobre cuándo ocurrió el incidente, pero señaló que el correo electrónico de suplantación de identidad contenía un archivo ZIP («250908_A_HK_secuwaySSL VPN Manager U100S 100user_.zip»), que se hacía pasar por una factura de VPN para distribuir malware capaz de transferir archivos, capturar capturas de pantalla y ejecutar comandos arbitrarios.
«La cadena tiene tres pasos: un pequeño gotero, un cargador llamado MemLoad y la última puerta trasera, llamada HttpTroy», explica el investigador de seguridad Alexandru-Cristian Bardaş.
Dentro del archivo ZIP hay un archivo SCR con el mismo nombre, que se abre y que desencadena la cadena de ejecución, empezando por un binario de Golang que contiene tres archivos incrustados, incluido un documento PDF señuelo que se muestra a la víctima para evitar levantar sospechas.
También se lanza simultáneamente en segundo plano MemLoad, que se encarga de configurar la persistencia en el host mediante una tarea programada llamada «AhnLabUpdate», un intento de hacerse pasar por AhnLab, una empresa de ciberseguridad surcoreana, y descifrar y ejecutar el backdoor de DLL («HttpTroy»).
El implante permite a los atacantes obtener un control total sobre el sistema comprometido, ya que permite cargar y descargar archivos, capturar capturas de pantalla, ejecutar comandos con privilegios elevados, cargar ejecutables en memoria, ejecutar archivos ejecutables en memoria, invertir la capa, terminar procesos y eliminar rastros. Se comunica con el servidor de comando y control (C2) («load.auraria [.] org») a través de solicitudes HTTP POST.
«HttpTroy emplea múltiples capas de ofuscación para dificultar el análisis y la detección», explicó Bardaş. «Las llamadas a la API se ocultan mediante técnicas de hash personalizadas, mientras que las cadenas se ocultan mediante una combinación de operaciones XOR e instrucciones SIMD. Cabe destacar que la puerta trasera evita la reutilización de cadenas y hashes de API. En su lugar, los reconstruye dinámicamente durante el tiempo de ejecución mediante combinaciones variadas de operaciones aritméticas y lógicas, lo que complica aún más el análisis estático».
Los hallazgos se producen cuando el proveedor de ciberseguridad también detalló un Grupo Lazarus ataque que llevó al despliegue de Remontador y una versión mejorada de su CEGADORA PUEDE Troyano de acceso remoto (también conocido como AIRDRY o ZetaNile). El ataque tuvo como objetivo a dos víctimas en Canadá y se detectó en «la mitad de la cadena de ataque», añadió.
Si bien no se conoce el vector de acceso inicial exacto utilizado en el ataque, se considera que se trata de un correo electrónico de suplantación de identidad debido a la ausencia de vulnerabilidades de seguridad conocidas que pudieran haberse aprovechado para hacerse un hueco.
Se han utilizado dos variantes diferentes de Comebacker, una como DLL y otra como EXE, la primera lanzada a través de un servicio de Windows y la segunda a través de «cmd.exe». Independientemente del método utilizado para ejecutarlas, el objetivo final del malware es el mismo: descifrar una carga útil incrustada (es decir, BLINDINGCAN) e implementarla como un servicio.
BLINDINGCAN está diseñado para establecer una conexión con un servidor C2 remoto («tronracing [.] com») y esperar más instrucciones que le permitan -
- Cargar/descargar archivos
- Eliminar archivos
- Modificar los atributos de un archivo para imitar otro archivo
- Enumerar de forma recursiva todos los archivos y subdirectorios de una ruta especificada
- Recopile datos sobre los archivos de todo el sistema de archivos
- Recopile metadatos del sistema
- Listar los procesos en ejecución
- Ejecute una línea de comandos usando Crear proceso W
- Ejecute archivos binarios directamente en la memoria
- Ejecute comandos con "cmd.exe»
- Finalizar un proceso específico pasando un ID de proceso como entrada
- Realizar capturas de pantalla
- Tome fotografías desde los dispositivos de captura de vídeo disponibles
- Actualizar configuración
- Cambiar el directorio de trabajo actual
- Se borra a sí mismo y elimina todos los rastros de actividad maliciosa
«Kimsuky y Lazarus siguen perfeccionando sus herramientas, lo que demuestra que los actores vinculados a la RPDC no solo mantienen sus arsenales, sino que los están reinventando», dijo Gen Digital. «Estas campañas muestran una cadena de infección bien estructurada y en varias etapas, que aprovecha cargas útiles confusas y mecanismos de persistencia sigilosos».
«Desde las etapas iniciales hasta las puertas traseras finales, cada componente está diseñado para evadir la detección, mantener el acceso y proporcionar un amplio control sobre el sistema comprometido. El uso del cifrado personalizado, la resolución dinámica de las API y la explotación de los servicios y el registro de tareas basados en COM ponen de manifiesto la continua evolución y sofisticación técnica de los grupos».