Source: https://thehackernews.com/2025/11/new-httptroy-backdoor-poses-as-vpn.html
🛡 概要
北朝鮮に関連する脅威アクターKimsukyが、新たに発見されたバックドア「HttpTroy」を配布しており、これは韓国の特定の標的に対するスピアフィッシング攻撃の一環として確認されています。Gen Digitalによると、この攻撃はVPNの請求書を装ったZIPファイルを含むフィッシングメールを通じて行われました。このZIPファイルには、ファイル転送やスクリーンショットのキャプチャ、任意のコマンドの実行が可能なマルウェアが含まれています。
🔍 技術詳細
HttpTroyは、3段階の実行チェーンを持つマルウェアです。最初に小さなドロッパーが実行され、次にMemLoadと呼ばれるローダーが起動し、最終的にHttpTroyバックドアが実行されます。ZIPアーカイブ内には同名のSCRファイルが含まれ、これを開くことで実行が開始されます。Golangで書かれたバイナリには、被害者の注意を引かないように表示されるダミーのPDFドキュメントが含まれています。MemLoadは、韓国のサイバーセキュリティ企業AhnLabを装ったスケジュールタスク「AhnlabUpdate」を介してホストへの持続性を確立し、HttpTroy DLLバックドアを復号化して実行します。このバックドアは、攻撃者がシステムを完全に制御できるようにし、ファイルのアップロード/ダウンロード、スクリーンショットのキャプチャ、コマンドの実行、プロセスの終了、痕跡の削除を可能にします。
⚠ 影響
HttpTroyは、攻撃者が侵入したシステムに対して広範な制御を提供し、システムのメタデータや実行中のプロセスのリストを収集し、ファイルシステム全体のデータを収集することができます。また、ユーザーの画面をキャプチャしたり、ビデオキャプチャデバイスから写真を取得したりすることも可能です。これにより、機密情報の窃取やさらなる攻撃のための情報収集が行われる危険性があります。このように、HttpTroyは高度な技術を駆使しており、検出を回避するための複数の難読化手法を使用しています。
🛠 対策
HttpTroyのようなバックドアから保護するためには、セキュリティ対策を強化することが重要です。まず、フィッシングメールに対する警戒を高め、信頼できない送信者からの添付ファイルを開かないことが基本です。また、最新のアンチウイルスソフトウェアを導入し、定期的なシステムスキャンを実施することが推奨されます。さらに、ネットワークの監視を強化し、異常な活動を早期に検知するための仕組みを構築する必要があります。セキュリティ教育を徹底し、従業員が最新の脅威に対する認識を持つようにすることも重要です。
