朝鲜黑客通过伪造VPN发票植入新型后门HttpTroy

被称为Kimsuky的朝鲜黑客组织使用名为HttpTroy的新型隐蔽后门攻击了韩国目标。他们将恶意软件伪装成VPN账单的钓鱼邮件进行传播。一旦有人点击，就会引发一连串感染。

HttpTroy让黑客能够远程完全控制系统。该后门被设计得极其隐蔽，因此大多数安全程序很难发现它。

伪造VPN发票攻击

被认为是这起最新威胁幕后黑手的Kimsuky组织显然与朝鲜有关联。研究人员表示，他们通过针对韩国某个人的鱼叉式网络钓鱼攻击发起了HttpTroy。邮件附有一个隐藏得很好的ZIP文件，大多数安全程序无法检测到它。

该文件名为"250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip"，伪装成合法的VPN报价单。使用VPN相关诱饵特别狡猾，因为国际粉丝常用VPN访问韩国内容，比如免费流媒体网站上的最新韩剧。

压缩包内藏有一个隐蔽的SCR文件。这是屏保文件，但也能像可执行文件一样运行命令。打开此文件就会触发整个攻击。

感染链包含三个狡猾步骤。首先是小型投放器，这是一个包含三个嵌入文件的Golang二进制文件。

其中一个文件是诱饵PDF文档，向受害者显示虚假发票。这是为了在恶意软件后台安装时避免引起怀疑。

下一阶段，名为MemLoad的加载器通过创建名为"AhnlabUpdate"的计划任务在受感染计算机上建立持久性。

此名称故意模仿AhnLab（韩国知名网络安全公司）。这种技巧帮助恶意软件混入正常系统活动中，这种技术利用了与内部威胁同样危险的"可信实体"盲点。

MemLoad随后解密并执行最终有效载荷——HttpTroy后门。一旦安装，HttpTroy就让攻击者能够广泛控制受害者的系统。

该后门功能广泛：可以自由上传下载文件、捕获屏幕截图、以高权限执行命令。

它还允许反向shell访问，让攻击者直接远程控制计算机。他们还可以终止进程并清除活动痕迹。

HttpTroy与其命令控制服务器通信，使用HTTP POST请求与"load.auraria[.]org"服务器通信，以此接收指令并发送窃取的数据。

安全研究人员指出，这个后门相当复杂。HttpTroy使用多层欺骗技术来增加分析难度：使用自定义哈希技术隐藏API调用、代码中的字符串经过混淆、恶意软件混合使用XOR操作和SIMD指令，这使得安全工具很难检测其恶意意图。

值得注意的是，该后门避免重复使用技巧，在运行时动态重建API哈希和字符串，使用各种算术和逻辑操作组合。这种方法显著增加了静态分析的难度。

这一攻击活动完美提醒我们：应对所有意外附件保持极度谨慎，特别是那些伪装成发票或报价单的附件。点击前务必通过独立渠道进行验证。在网络安全领域，健康的怀疑态度是你最好的朋友。