TTL OSINT

05.07.2024 157 2 мин.

Появился новый бэкдор Kimsuky Group (HappyDoor)

Вредоносная программа Happy Door от Kimsuky group, впервые обнаруженная в 2021 году, использовалась для утечек данных вплоть до 2024 года. Он распространяется с помощью фишинговых атак по электронной почте и содержит сжатый файл с JScript или dropper, который создает и запускает HappyDoor вместе с законными файлами-приманками. Аргументы выполнения HappyDoor помечаются звездочкой () и разделяются в зависимости от идентичности аргументов. Последние примеры (8-10) показывают, что злоумышленник исправляет вредоносное ПО не реже одного раза в месяц. Вредоносная программа запускается через regsvr32.exe и выполняется в следующем порядке: установите, запустите* и инициализируйте*. Happy Door выполняет шесть основных операций по утечке информации и использует ключи RSA и RC4 для шифрования данных. Он взаимодействует с CC-сервером по протоколу HTTP и использует три типа поведения пакетов: по умолчанию, запрос и ответ. Вредоносная программа оснащена шестью различными типами функций для кражи информации и использует протокол HTTP для взаимодействия с CC-сервером.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://asec.ahnlab.com/en/67660/

Выборочные показатели Compromise:

• http://uo.zosua.o-r.kr/index.php
• http://aa.olixa.p-e.kr/index.php
• http://ai.hyyeo.p-e.kr/index.php
• http://ai.xn--namu-t82baaa.p-e.kr/index.php
• http://users.nya.pub/index.php

Источник: TTL OSINT