کمیته رکن چهارم– بدافزار جدیدی با نام HttpTroy که به گروه کیمسوکی نسبت داده میشود، در قالب فاکتور جعلی VPN و از طریق ایمیل فیشینگ علیه هدفی در کره جنوبی استفاده شده است. این بدافزار قابلیتهای گستردهای برای کنترل از راه دور و جمعآوری اطلاعات دارد.
به گزارش کمیته رکن چهارم، زنجیره آلودگی با فایلی فشرده آغاز میشود که حاوی فایل SCR آلوده است. با اجرای آن، یک فایل PDF جعلی برای فریب کاربر نمایش داده میشود و همزمان بدافزار MemLoad اجرا میشود که با نامی شبیه به یک شرکت امنیتی کرهای، تلاش میکند در سیستم باقی بماند. این ابزار در ادامه بدافزار HttpTroy را رمزگشایی کرده و اجرا میکند.
بدافزار HttpTroy با برقراری ارتباط به سرور C2 از طریق درخواستهای HTTP POST، امکان اجرای دستورات، دریافت و ارسال فایل، گرفتن اسکرینشات و پاکسازی ردپاها را فراهم میکند. این بدافزار با استفاده از مبهمسازیهای چندلایه، تحلیل را برای کارشناسان امنیتی دشوار میسازد.
در کنار این حمله، فعالیتی دیگر از گروه لازاروس نیز شناسایی شده که شامل بدافزار Comebacker و نسخه ارتقاءیافته BLINDINGCAN بوده است. این حمله دو قربانی در کانادا را هدف قرار داده و از همان الگوی پیچیده و چندمرحلهای استفاده کرده است. هدف نهایی، اجرای مخفی بدافزار در حافظه سیستم و فراهمکردن دسترسی پایدار و کنترل کامل بر سیستم بوده است.
پژوهشگران امنیتی هشدار دادهاند که این گروههای وابسته به کره شمالی در حال تکامل مستمر ابزارهای خود هستند و با بهرهگیری از روشهای پیشرفته و پنهانکارانه، سطح جدیدی از تهدیدات سایبری هدفمند را به نمایش گذاشتهاند.
