Kimsuky عامل تهدید مرتبط با کره شمالی، دربپشتی جدیدی تحت عنوان HttpTroy را به عنوان بخشی از یک حمله فیشینگ هدفمند در کره جنوبی توزیع کرده است.
بنابر گزارش شرکت Gen Digital که جزئیات این فعالیت را فاش کرده، ایمیل فیشینگ حاوی یک فایل ZIP بوده که در پوشش فاکتور VPN جهت توزیع بدافزاری با قابلیت انتقال فایل، گرفتن اسکرینشات و اجرای دستورات دلخواه ظاهر شده است. این زنجیره سه مرحله دارد: دراپر کوچک، لودر MemLoad و دربپشتی «HttpTroy». در آرشیو ZIP، یک فایل SCR با همین نام وجود دارد که باز شدن آن زنجیره اجرا را آغاز میکند و با فایل باینری Golang حاوی سه فایل جاسازی شده از جمله PDF فریبنده شروع میشود که برای جلوگیری از سوءظن به قربانی نمایش داده میشود.
همچنین به طور همزمان در پسزمینه، MemLoad راهاندازی میشود که مسئول ایجاد پایداری در میزبان از طریق تسک برنامهریزی شده به نام «AhnlabUpdate» است، تلاشی برای جعل هویت شرکت امنیت سایبری AhnLab کرهجنوبی و رمزگشایی و اجرای دربپشتی DLL («HttpTroy»). این ایمپلنت به نفوذگران اجازه میدهد تا کنترل کامل سیستم آسیبپذیر را به دست آورند، امکان آپلود/دانلود فایل، گرفتن اسکرینشات، اجرای دستور با سطح دسترسی بالا، بارگذاری فایلهای اجرایی در حافظه، شِلمعکوس، خاتمه فرآیند و حذف ردیابی را فراهم کند. این بدافزار با سرور فرمان و کنترل (C2) از طریق درخواستهای HTTP POST ارتباط برقرار میکند.
HttpTroy از چندین لایه مبهمسازی برای جلوگیری از تجزیه و تحلیل و تشخیص استفاده میکند. فراخوانیهای API با استفاده از تکنیکهای هشینگ سفارشی پنهان میشوند، در حالی که رشتهها از طریق ترکیبی از عملیات XOR و دستورالعملهای SIMD مبهمسازی میشوند. نکته قابل توجه این است که دربپشتی HttpTroy، از استفاده مجدد از هشها و رشتههای API جلوگیری میکند. در عوض، آنها را به صورت پویا در زمان اجرا با استفاده از ترکیبهای متنوعی از عملیات حسابی و منطقی بازسازی میکند و تجزیه و تحلیل استاتیک را پیچیدهتر میکند.
این یافتهها در حالی منتشر شد که Gen Digital همچنین جزئیات حمله گروه Lazarus را که منجر به استقرار Comebacker و نسخه ارتقا یافته تروجان دسترسی از راه دور BLINDINGCAN (معروف به AIRDRY یا ZetaNile) شد را ارائه داده است. دو نوع مختلف از Comebacker مورد استفاده قرار گرفتهاند که یکی به عنوان DLL از طریق یک سرویس ویندوز و دیگری به عنوان EXE از طریق “cmd.exe” اجرا میشود. صرف نظر از روش مورد استفاده برای اجرای آنها، هدف نهایی این بدافزار یکسان است: رمزگشایی یک پیلود جاسازی شده (یعنی BLINDINGCAN) و استقرار آن به عنوان یک سرویس.
https://thehackernews.com/2025/11/new-httptroy-backdoor-poses-as-vpn.html
