“HappyDoor”: La nuova Backdoor del Gruppo Kimsuky

Sandro Sana : 10 Luglio 2024 08:36

Il gruppo Kimsuky, noto per le sue operazioni di cyber spionaggio, ha sviluppato un nuovo malware chiamato “HappyDoor”. Questo backdoor, progettato per infiltrarsi e rubare dati dai sistemi compromessi, è stato analizzato dettagliatamente dall’AhnLab Security Emergency Response Center (ASEC). Di seguito, una descrizione approfondita delle caratteristiche tecniche e del funzionamento di HappyDoor, oltre a un profilo del gruppo Kimsuky.

Chi è il Gruppo Kimsuky

Kimsuky, anche noto come Thallium, Velvet Chollima e Black Banshee, è un gruppo di cyber spionaggio con presunti legami con la Corea del Nord. Attivo dal 2012, il gruppo è noto per prendere di mira principalmente enti governativi, organizzazioni politiche, istituzioni accademiche, e think tank, soprattutto in Corea del Sud e Stati Uniti. L’obiettivo principale di Kimsuky è raccogliere informazioni strategiche e politiche sensibili.

Topologia e Metodi Operativi

• Tecniche di Social Engineering: Kimsuky utilizza spesso email di phishing personalizzate per ingannare i destinatari e indurli a fornire credenziali o a installare malware.
• Malware e Backdoor: Il gruppo sviluppa e utilizza una varietà di malware, inclusi keylogger, trojan di accesso remoto (RAT) e backdoor come HappyDoor.
• Infrastrutture C&C: Kimsuky gestisce una rete di server di comando e controllo (C&C) per coordinare le attività di spionaggio e raccogliere dati esfiltrati.
• Obiettivi Geopolitici: Gli attacchi del gruppo sono spesso mirati a raccogliere informazioni utili alla strategia politica e militare della Corea del Nord.

Caratteristiche Tecniche del Malware

1. Registry Data

HappyDoor utilizza il registro di Windows per configurare dati essenziali per le sue operazioni. I principali percorsi del registro utilizzati sono:

• Notepad:
  • Percorso: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Notepad
  • Valore: IfChar
  • Descrizione: Contiene chiavi RSA (pubbliche e private), interruttori ON/OFF per la funzione di furto di informazioni e backdoor, e indirizzi delle funzioni di furto di informazioni.
  • Dimensione dei Dati: Varia tra 0x17E0 e 0x17D8 a seconda della versione.
  La struttura dei dati include:
  • Backdoor Packet Encryption ON/OFF: Un valore che decide se i comandi backdoor ricevuti devono essere cifrati. Di default è impostato su ON e utilizza una chiave RSA privata o una chiave RC4 per la decifratura.
  • interval_cmd, interval_ssht, ssht_width, ssht_height: Intervalli di raccolta delle informazioni e risoluzione degli screenshot.
• FTP:
  • Percorso: HKEY_CURRENT_USER\Software\Microsoft\FTP
  • Valore: Use Https
  • Descrizione: Include dati per l’autenticazione dei pacchetti e l’indirizzo del server C&C.
  • Dimensione dei Dati: Varia in base al numero di server C&C configurati.
  La struttura dei dati include:
  • USER ID: Un valore di 8 byte utilizzato per l’autenticazione dei pacchetti.
  • C2 (C&C) Address: L’indirizzo del server di comando e controllo utilizzato per il furto di informazioni e backdoor.

2. Packet Data

HappyDoor utilizza il protocollo HTTP per comunicare con i server C&C. I dati inviati sono cifrati utilizzando una combinazione di XOR e Base64, garantendo che le comunicazioni siano difficili da intercettare e decifrare.

• Metodo di Cifratura: XOR con una chiave fissa (ad esempio, DD 33 99 CC) e successiva codifica Base64.
• Struttura del Pacchetto: Include funzioni di furto di informazioni come allarmi, keylogger e screenshot, cifrate e inviate al server C&C.

3. Flusso di Comunicazione

Il flusso di comunicazione di HappyDoor si divide in tre tipi di pacchetti:

1. Autenticazione del Server:
   • Invia un comando di inizializzazione “init” al server e riceve una conferma “OK”.
2. Furto di Informazioni:
   • Invia uno stato di trasmissione (Trans Status: 0x1) per notificare l’invio di dati.
   • Trasferisce i dati in blocchi, ciascuno fino a una dimensione massima di 0x100000. Se i dati sono più grandi, vengono suddivisi in pacchetti successivi.
   • Una volta completato il trasferimento, invia un numero di ordine (Data Ord Number: 0x100000000) per confermare la fine della trasmissione e verifica la risposta del server.
   • Invia le informazioni del file trasferito, inclusi nome e dimensioni.
3. Comunicazione di Backdoor:
   • Scambia ID dei comandi (CMD ID: 0x3E) per eseguire istruzioni specifiche inviate dal server C&C.

Implicazioni e Raccomandazioni

HappyDoor rappresenta una minaccia significativa per la sicurezza delle informazioni, specialmente per le organizzazioni. È fondamentale che vengano adottate misure di sicurezza adeguate, tra cui:

• Aggiornamento Regolare: Assicurarsi che tutti i software di sicurezza siano aggiornati.
• Monitoraggio del Traffico: Implementare soluzioni per il monitoraggio del traffico di rete per rilevare attività sospette.
• Formazione del Personale: Educare i dipendenti sulle pratiche di sicurezza informatica per ridurre il rischio di compromissioni.

Conclusione

L’analisi di HappyDoor mette in luce la continua evoluzione delle tecniche di attacco utilizzate da gruppi avanzati come Kimsuky. Le organizzazioni devono rimanere vigili e aggiornate sulle minacce emergenti per proteggere efficacemente i propri dati e infrastrutture.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore