El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha distribuido una puerta trasera previamente indocumentada con nombre en código HttpTroy como parte de un probable ataque de phishing dirigido a una sola víctima en Corea del Sur.
Gen Digital, que reveló detalles de la actividad, no reveló ningún detalle sobre cuándo ocurrió el incidente, pero señaló que el correo electrónico de phishing contenía un archivo ZIP («250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip»), que se hacía pasar por una factura de VPN para distribuir malware capaz de transferir archivos, capturar capturas de pantalla y ejecutar comandos arbitrarios.
«La cadena tiene tres pasos: un pequeño gotero, un cargador llamado MemLoad y la puerta trasera final, llamada ‘HttpTroy'», dijo el investigador de seguridad Alexandru-Cristian Bardaș.
Dentro del archivo ZIP hay un archivo SCR del mismo nombre, cuya apertura desencadenó la cadena de ejecución, comenzando con un binario Golang que contiene tres archivos incrustados, incluido un documento PDF señuelo que se muestra a la víctima para evitar levantar sospechas.
También se lanza simultáneamente en segundo plano MemLoad, que es responsable de configurar la persistencia en el host mediante una tarea programada llamada «AhnlabUpdate», un intento de hacerse pasar por AhnLab, una empresa de ciberseguridad de Corea del Sur, y descifrar y ejecutar la puerta trasera DLL («HttpTroy»).
El implante permite a los atacantes obtener un control total sobre el sistema comprometido, permitiendo la carga/descarga de archivos, captura de pantalla, ejecución de comandos con privilegios elevados, carga de ejecutables en memoria, shell inverso, terminación de procesos y eliminación de rastros. Se comunica con el servidor de comando y control (C2) («load.auraria(.)org») a través de solicitudes HTTP POST.
«HttpTroy emplea múltiples capas de ofuscación para dificultar el análisis y la detección», explicó Bardaș. «Las llamadas API se ocultan mediante técnicas de hash personalizadas, mientras que las cadenas se ofuscan mediante una combinación de operaciones XOR e instrucciones SIMD. En particular, la puerta trasera evita la reutilización de hash y cadenas API. En cambio, las reconstruye dinámicamente durante el tiempo de ejecución utilizando diversas combinaciones de operaciones aritméticas y lógicas, lo que complica aún más el análisis estático».
Los hallazgos se producen cuando el proveedor de ciberseguridad también detalló un ataque del Grupo Lazarus que llevó a la implementación de Comebacker y una versión mejorada de su troyano de acceso remoto BLINDINGCAN (también conocido como AIRDRY o ZetaNile). El ataque tuvo como objetivo dos víctimas en Canadá y fue detectado en «la mitad de la cadena de ataque», añadió.
Si bien se desconoce el vector de acceso inicial exacto utilizado en el ataque, se considera que se trata de un correo electrónico de phishing debido a la ausencia de vulnerabilidades de seguridad conocidas que podrían haber sido aprovechadas para afianzarse.
Se han utilizado dos variantes diferentes de Comebacker, una como DLL y otra como EXE: la primera se inicia a través de un servicio de Windows y la segunda a través de «cmd.exe». Independientemente del método utilizado para ejecutarlos, el objetivo final del malware es el mismo: descifrar una carga útil incorporada (es decir, BLINDINGCAN) e implementarla como un servicio.
BLINDINGCAN está diseñado para establecer una conexión con un servidor C2 remoto («tronracing(.)com») y esperar instrucciones adicionales que le permitan:
- Cargar/descargar archivos
- Eliminar archivos
- Modificar los atributos de un archivo para imitar otro archivo
- Enumere recursivamente todos los archivos y subdirectorios para una ruta específica
- Recopile datos sobre archivos en todo el sistema de archivos.
- Recopilar metadatos del sistema
- Listar procesos en ejecución
- Ejecute una línea de comandos usando CreateProcessW
- Ejecutar binarios directamente en la memoria.
- Ejecutar comandos usando «cmd.exe»
- Termine un proceso específico pasando un ID de proceso como entrada
- Tomar capturas de pantalla
- Tome fotografías desde los dispositivos de captura de video disponibles.
- Actualizar configuración
- Cambiar el directorio de trabajo actual
- Eliminarse y eliminar todos los rastros de actividad maliciosa
«Kimsuky y Lazarus continúan perfeccionando sus herramientas, demostrando que los actores vinculados a la RPDC no sólo mantienen sus arsenales, sino que los están reinventando», dijo Gen Digital. «Estas campañas demuestran una cadena de infección bien estructurada y de múltiples etapas, aprovechando cargas útiles ofuscadas y mecanismos de persistencia sigilosos».
«Desde las etapas iniciales hasta las puertas traseras finales, cada componente está diseñado para evadir la detección, mantener el acceso y proporcionar un amplio control sobre el sistema comprometido. El uso de cifrado personalizado, resolución API dinámica y explotación de servicios/registro de tareas basado en COM resalta la evolución continua y la sofisticación técnica de los grupos».
