Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Campagna di Phishing ai danni del Ministero degli Affari Esteri e della Cooperazione Internazionale  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  TelegraMalware : Scoperti Oltre 1000 Bot per Intercettare Codici SMS e Notifiche  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Gli EDR/AV vanno Offline con Killer Ultra! Il malware degli operatori ransomware di Qilin  ///    Scropri i corsi di Red Hot Cyber    ///  Esce Dark Mirror. Il Primo Report di Dark Lab sul Fenomeno Ransomware relativo ad H1 2024  ///    Iscriviti al nostro canale Whatsapp    ///  Massiccia Violazione dei Dati Disney: 1,1 TiB di Informazioni Compromesse  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Hai bisogno di una identità falsa? I Truffatori Professionisti usano Fotodropy Store!  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Muri Digitali: Kaspersy Lab Chiude gli Uffici negli Stati Uniti D’America!  ///    Scropri i corsi di Red Hot Cyber    ///  The Hackers Choice (THC): 30 anni di hacking senza voler diventare ricchi! L’intervista a VH e Skyper  ///    Iscriviti al nostro canale Whatsapp    ///  La Psicologia dietro gli Attacchi Informatici! il ruolo fondamentale delle emozioni dalle quali difenderci  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Rockstar Games possibile vittima di un Enorme Data Leak!  ///  
Crowdstrike

“HappyDoor”: La nuova Backdoor del Gruppo Kimsuky

Sandro Sana : 10 Luglio 2024 08:36

Il gruppo Kimsuky, noto per le sue operazioni di cyber spionaggio, ha sviluppato un nuovo malware chiamato “HappyDoor”. Questo backdoor, progettato per infiltrarsi e rubare dati dai sistemi compromessi, è stato analizzato dettagliatamente dall’AhnLab Security Emergency Response Center (ASEC). Di seguito, una descrizione approfondita delle caratteristiche tecniche e del funzionamento di HappyDoor, oltre a un profilo del gruppo Kimsuky.

Chi è il Gruppo Kimsuky

Kimsuky, anche noto come Thallium, Velvet Chollima e Black Banshee, è un gruppo di cyber spionaggio con presunti legami con la Corea del Nord. Attivo dal 2012, il gruppo è noto per prendere di mira principalmente enti governativi, organizzazioni politiche, istituzioni accademiche, e think tank, soprattutto in Corea del Sud e Stati Uniti. L’obiettivo principale di Kimsuky è raccogliere informazioni strategiche e politiche sensibili.

Topologia e Metodi Operativi
  • Tecniche di Social Engineering: Kimsuky utilizza spesso email di phishing personalizzate per ingannare i destinatari e indurli a fornire credenziali o a installare malware.
  • Malware e Backdoor: Il gruppo sviluppa e utilizza una varietà di malware, inclusi keylogger, trojan di accesso remoto (RAT) e backdoor come HappyDoor.
  • Infrastrutture C&C: Kimsuky gestisce una rete di server di comando e controllo (C&C) per coordinare le attività di spionaggio e raccogliere dati esfiltrati.
  • Obiettivi Geopolitici: Gli attacchi del gruppo sono spesso mirati a raccogliere informazioni utili alla strategia politica e militare della Corea del Nord.

Caratteristiche Tecniche del Malware

1. Registry Data

HappyDoor utilizza il registro di Windows per configurare dati essenziali per le sue operazioni. I principali percorsi del registro utilizzati sono:

  • Notepad:
    • Percorso: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Notepad
    • Valore: IfChar
    • Descrizione: Contiene chiavi RSA (pubbliche e private), interruttori ON/OFF per la funzione di furto di informazioni e backdoor, e indirizzi delle funzioni di furto di informazioni.
    • Dimensione dei Dati: Varia tra 0x17E0 e 0x17D8 a seconda della versione.
    La struttura dei dati include:
    • Backdoor Packet Encryption ON/OFF: Un valore che decide se i comandi backdoor ricevuti devono essere cifrati. Di default è impostato su ON e utilizza una chiave RSA privata o una chiave RC4 per la decifratura.
    • interval_cmd, interval_ssht, ssht_width, ssht_height: Intervalli di raccolta delle informazioni e risoluzione degli screenshot.
  • FTP:
    • Percorso: HKEY_CURRENT_USER\Software\Microsoft\FTP
    • Valore: Use Https
    • Descrizione: Include dati per l’autenticazione dei pacchetti e l’indirizzo del server C&C.
    • Dimensione dei Dati: Varia in base al numero di server C&C configurati.
    La struttura dei dati include:
    • USER ID: Un valore di 8 byte utilizzato per l’autenticazione dei pacchetti.
    • C2 (C&C) Address: L’indirizzo del server di comando e controllo utilizzato per il furto di informazioni e backdoor.
2. Packet Data

HappyDoor utilizza il protocollo HTTP per comunicare con i server C&C. I dati inviati sono cifrati utilizzando una combinazione di XOR e Base64, garantendo che le comunicazioni siano difficili da intercettare e decifrare.

  • Metodo di Cifratura: XOR con una chiave fissa (ad esempio, DD 33 99 CC) e successiva codifica Base64.
  • Struttura del Pacchetto: Include funzioni di furto di informazioni come allarmi, keylogger e screenshot, cifrate e inviate al server C&C.
3. Flusso di Comunicazione

Il flusso di comunicazione di HappyDoor si divide in tre tipi di pacchetti:

  1. Autenticazione del Server:
    • Invia un comando di inizializzazione “init” al server e riceve una conferma “OK”.
  2. Furto di Informazioni:
    • Invia uno stato di trasmissione (Trans Status: 0x1) per notificare l’invio di dati.
    • Trasferisce i dati in blocchi, ciascuno fino a una dimensione massima di 0x100000. Se i dati sono più grandi, vengono suddivisi in pacchetti successivi.
    • Una volta completato il trasferimento, invia un numero di ordine (Data Ord Number: 0x100000000) per confermare la fine della trasmissione e verifica la risposta del server.
    • Invia le informazioni del file trasferito, inclusi nome e dimensioni.
  3. Comunicazione di Backdoor:
    • Scambia ID dei comandi (CMD ID: 0x3E) per eseguire istruzioni specifiche inviate dal server C&C.

Implicazioni e Raccomandazioni

HappyDoor rappresenta una minaccia significativa per la sicurezza delle informazioni, specialmente per le organizzazioni. È fondamentale che vengano adottate misure di sicurezza adeguate, tra cui:

  • Aggiornamento Regolare: Assicurarsi che tutti i software di sicurezza siano aggiornati.
  • Monitoraggio del Traffico: Implementare soluzioni per il monitoraggio del traffico di rete per rilevare attività sospette.
  • Formazione del Personale: Educare i dipendenti sulle pratiche di sicurezza informatica per ridurre il rischio di compromissioni.

Conclusione

L’analisi di HappyDoor mette in luce la continua evoluzione delle tecniche di attacco utilizzate da gruppi avanzati come Kimsuky. Le organizzazioni devono rimanere vigili e aggiornate sulle minacce emergenti per proteggere efficacemente i propri dati e infrastrutture.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab. Mi occupo d'Information Technology dal 1990, negli anni ho lavorato con aziende di diverso tipo dalle PMI alle Enterprise e la PA. Dal 2003 m'interesso di comunicazione, PNL e Public Speaking. Nel 2014 entro nel mondo della Cybersecurity e mi specializzo in scouting e R&D di soluzioni in ambito Cybersecurity. CEH - EC-Council Certified Ethical Hacker, CIH EC-Council Certified Incident Handler, CISSP - Certified Information Systems Security Professional, relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro dell'Associazione Informatici Professionisti dal 2017 e Coordinatore per la regione Friuli-Venezia Giulia per AIP-ITCS. Membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360.
Visita il sito web dell'autore