La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
“HappyDoor”: La nuova Backdoor del Gruppo Kimsuky
Sandro Sana : 10 Luglio 2024 08:36
Il gruppo Kimsuky, noto per le sue operazioni di cyber spionaggio, ha sviluppato un nuovo malware chiamato “HappyDoor”. Questo backdoor, progettato per infiltrarsi e rubare dati dai sistemi compromessi, è stato analizzato dettagliatamente dall’AhnLab Security Emergency Response Center (ASEC). Di seguito, una descrizione approfondita delle caratteristiche tecniche e del funzionamento di HappyDoor, oltre a un profilo del gruppo Kimsuky.
Chi è il Gruppo Kimsuky
Kimsuky, anche noto come Thallium, Velvet Chollima e Black Banshee, è un gruppo di cyber spionaggio con presunti legami con la Corea del Nord. Attivo dal 2012, il gruppo è noto per prendere di mira principalmente enti governativi, organizzazioni politiche, istituzioni accademiche, e think tank, soprattutto in Corea del Sud e Stati Uniti. L’obiettivo principale di Kimsuky è raccogliere informazioni strategiche e politiche sensibili.
Topologia e Metodi Operativi
Tecniche di Social Engineering: Kimsuky utilizza spesso email di phishing personalizzate per ingannare i destinatari e indurli a fornire credenziali o a installare malware.
Malware e Backdoor: Il gruppo sviluppa e utilizza una varietà di malware, inclusi keylogger, trojan di accesso remoto (RAT) e backdoor come HappyDoor.
Infrastrutture C&C: Kimsuky gestisce una rete di server di comando e controllo (C&C) per coordinare le attività di spionaggio e raccogliere dati esfiltrati.
Obiettivi Geopolitici: Gli attacchi del gruppo sono spesso mirati a raccogliere informazioni utili alla strategia politica e militare della Corea del Nord.
Caratteristiche Tecniche del Malware
1. Registry Data
HappyDoor utilizza il registro di Windows per configurare dati essenziali per le sue operazioni. I principali percorsi del registro utilizzati sono:
Descrizione: Contiene chiavi RSA (pubbliche e private), interruttori ON/OFF per la funzione di furto di informazioni e backdoor, e indirizzi delle funzioni di furto di informazioni.
Dimensione dei Dati: Varia tra 0x17E0 e 0x17D8 a seconda della versione.
La struttura dei dati include:
Backdoor Packet Encryption ON/OFF: Un valore che decide se i comandi backdoor ricevuti devono essere cifrati. Di default è impostato su ON e utilizza una chiave RSA privata o una chiave RC4 per la decifratura.
interval_cmd, interval_ssht, ssht_width, ssht_height: Intervalli di raccolta delle informazioni e risoluzione degli screenshot.
Descrizione: Include dati per l’autenticazione dei pacchetti e l’indirizzo del server C&C.
Dimensione dei Dati: Varia in base al numero di server C&C configurati.
La struttura dei dati include:
USER ID: Un valore di 8 byte utilizzato per l’autenticazione dei pacchetti.
C2 (C&C) Address: L’indirizzo del server di comando e controllo utilizzato per il furto di informazioni e backdoor.
2. Packet Data
Sei un Esperto di Formazione? Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program. Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo
HappyDoor utilizza il protocollo HTTP per comunicare con i server C&C. I dati inviati sono cifrati utilizzando una combinazione di XOR e Base64, garantendo che le comunicazioni siano difficili da intercettare e decifrare.
Metodo di Cifratura: XOR con una chiave fissa (ad esempio, DD 33 99 CC) e successiva codifica Base64.
Struttura del Pacchetto: Include funzioni di furto di informazioni come allarmi, keylogger e screenshot, cifrate e inviate al server C&C.
3. Flusso di Comunicazione
Il flusso di comunicazione di HappyDoor si divide in tre tipi di pacchetti:
Autenticazione del Server:
Invia un comando di inizializzazione “init” al server e riceve una conferma “OK”.
Furto di Informazioni:
Invia uno stato di trasmissione (Trans Status: 0x1) per notificare l’invio di dati.
Trasferisce i dati in blocchi, ciascuno fino a una dimensione massima di 0x100000. Se i dati sono più grandi, vengono suddivisi in pacchetti successivi.
Una volta completato il trasferimento, invia un numero di ordine (Data Ord Number: 0x100000000) per confermare la fine della trasmissione e verifica la risposta del server.
Invia le informazioni del file trasferito, inclusi nome e dimensioni.
Comunicazione di Backdoor:
Scambia ID dei comandi (CMD ID: 0x3E) per eseguire istruzioni specifiche inviate dal server C&C.
Implicazioni e Raccomandazioni
HappyDoor rappresenta una minaccia significativa per la sicurezza delle informazioni, specialmente per le organizzazioni. È fondamentale che vengano adottate misure di sicurezza adeguate, tra cui:
Aggiornamento Regolare: Assicurarsi che tutti i software di sicurezza siano aggiornati.
Monitoraggio del Traffico: Implementare soluzioni per il monitoraggio del traffico di rete per rilevare attività sospette.
Formazione del Personale: Educare i dipendenti sulle pratiche di sicurezza informatica per ridurre il rischio di compromissioni.
Conclusione
L’analisi di HappyDoor mette in luce la continua evoluzione delle tecniche di attacco utilizzate da gruppi avanzati come Kimsuky. Le organizzazioni devono rimanere vigili e aggiornate sulle minacce emergenti per proteggere efficacemente i propri dati e infrastrutture.
Sandro Sana Membro del gruppo di Red Hot Cyber Dark Lab. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360. Visita il sito web dell'autore