خلاصہ: شمالی کوریا سے تعلق رکھنے والے ہیکرز کے گروپ Kimsuky نے ایک نیا میلویئر بیک ڈور HttpTroy متعارف کرایا ہے، جو ایک جعلی VPN انوائس کی شکل میں پھیلایا گیا۔ یہ حملہ ایک مخصوص جنوبی کوریائی ٹارگٹ پر اسپیر فشنگ (Spear Phishing) کے ذریعے کیا گیا۔ اس میں تین مراحل پر مشتمل ایک چین شامل تھی — ایک ڈراپر، ایک لوڈر “MemLoad”، اور آخر میں HttpTroy DLL بیک ڈور — جو متاثرہ سسٹم پر مکمل کنٹرول فراہم کرتا ہے۔
یہ میلویئر HTTP POST ریکویسٹ کے ذریعے اپنے کمانڈ اینڈ کنٹرول (C2) سرور سے رابطہ کرتا ہے اور اینٹی ڈیٹیکشن کے لیے جدید خفیہ کاری اور اوبسکیوریشن تکنیک استعمال کرتا ہے۔
تعارف
سائبر سیکیورٹی کمپنی Gen Digital نے ایک نیا کیس ظاہر کیا ہے جس سے پتہ چلتا ہے کہ شمالی کوریا سے منسلک ہیکرز کے گروپ Kimsuky نے ایک انتہائی ہدفی سائبر حملہ کیا۔ اس حملے میں ایک ZIP فائل بھیجی گئی جو بظاہر ایک VPN انوائس تھی، لیکن دراصل اس کے اندر ایک نیا میلویئر بیک ڈور HttpTroy چھپا ہوا تھا۔
یہ حملہ اس بات کی نشاندہی کرتا ہے کہ DPRK (شمالی کوریا) سے منسلک ہیکرز اپنے ہتھیاروں کو نہ صرف برقرار رکھے ہوئے ہیں بلکہ انہیں مزید جدید بنا رہے ہیں۔
حملے کے تین مراحل
یہ حملہ تین مختلف مراحل پر مشتمل تھا:
1.ڈراپر (Dropper): ایک چھوٹی Golang فائل جو تین ایمبیڈڈ فائلز کے ساتھ آتی ہے، ان میں سے ایک جعلی PDF ہے۔
2.لوڈر (MemLoad): یہ سسٹم پر پرسسٹنس قائم کرنے کے لیے ایک شیڈولڈ ٹاسک بناتا ہے جس کا نام “AhnlabUpdate” رکھا گیا تاکہ ایسا لگے جیسے یہ جنوبی کوریا کی معروف سیکیورٹی کمپنی AhnLab کی اپ ڈیٹ ہے۔
3.بیک ڈور (HttpTroy DLL): یہ میلویئر کا بنیادی حصہ ہے جو ریموٹ کنٹرول، فائل اپلوڈ/ڈاؤن لوڈ، اسکرین شاٹ، کمانڈ ایکزیکیوشن اور دیگر خطرناک سرگرمیاں انجام دیتا ہے۔
یہ پورا چین ایک منظم اور خفیہ طریقے سے سسٹم پر مکمل رسائی فراہم کرتا ہے۔
HttpTroy کی صلاحیتیں
HttpTroy ایک مکمل بیک ڈور ہے جو درج ذیل کام انجام دے سکتا ہے:
•فائلیں اپلوڈ یا ڈاؤن لوڈ کرنا
•اسکرین شاٹ لینا
•ایڈمن اختیارات کے ساتھ کمانڈز چلانا
•بائنریز کو میموری میں ہی ایکزیکیوٹ کرنا (Fileless Execution)
•ریورس شیل بنانا
•پروسیس ختم کرنا اور ٹریس مٹانا
یہ میلویئر اپنے C2 سرور load.auraria[.]org سے HTTP POST کے ذریعے رابطہ کرتا ہے۔
خفیہ کاری اور اوبسکیوریشن کی جدید تکنیکیں
HttpTroy اپنی موجودگی چھپانے کے لیے انتہائی جدید تکنیکیں استعمال کرتا ہے:
•کسٹم API ہیشنگ: ہر API کال کا ہیش الگ بنایا جاتا ہے تاکہ اسے پکڑنا مشکل ہو۔
•اسٹرنگ اوبسکیوریشن: میلویئر کی تمام strings کو XOR اور دیگر حسابی طریقوں سے خفیہ کیا جاتا ہے۔
•ڈائنامک ریکنسٹرکشن: یہ میلویئر APIs اور strings کو رن ٹائم پر دوبارہ تعمیر کرتا ہے تاکہ اینالسس مشکل ہوجائے۔
•میموری میں ایکزیکیوشن: زیادہ تر فائلز ڈسک پر نہیں لکھی جاتیں بلکہ میموری میں ہی چلتی ہیں تاکہ اینٹی وائرس انہیں نہ پکڑ سکے۔
متعلقہ سرگرمی: Lazarus گروپ کا Comebacker اور BLINDINGCAN RAT
Gen Digital نے ایک اور کیس رپورٹ کیا جس میں شمالی کوریا سے منسلک Lazarus گروپ نے Comebacker اور اس کے ذریعے BLINDINGCAN RAT تعینات کیا۔
یہ میلویئر بھی درج ذیل سرگرمیاں انجام دیتا ہے:
•فائل اپلوڈ/ڈاؤن لوڈ اور حذف
•سسٹم اور پروسیس معلومات اکٹھی کرنا
•اسکرین شاٹ اور کیمرہ کیپچر
•میلویئر خود کو حذف کرنا اور شواہد مٹانا
یہ مہمات ظاہر کرتی ہیں کہ DPRK کے سائبر گروپس مسلسل اپنی تکنیکی صلاحیتوں کو بہتر بنا رہے ہیں۔
Indicators of Compromise (IoCs)
•ZIP فائل: 250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip
•مشکوک SCR فائل
•شیڈولڈ ٹاسک: AhnlabUpdate
•C2 سرور: load.auraria[.]org
•Lazarus C2: tronracing[.]com
دفاعی سفارشات
نیٹ ورک سطح پر:
•HTTP POST ٹریفک اور مشکوک ڈومینز کو بلاک کریں۔
•DNS لاگز میں load.auraria[.]org جیسے پتوں کی نگرانی کریں۔
اینڈپوائنٹ سطح پر:
•غیر متوقع .scr فائلز کی ایکزیکیوشن پر نظر رکھیں۔
•شیڈولڈ ٹاسک “AhnlabUpdate” کو تلاش کریں۔
•EDR یا اینٹی وائرس پر میموری بیسڈ ایکزیکیوشن کے الارٹس کو چیک کریں۔
احتیاطی اقدامات:
•ای میل اٹیچمنٹس خصوصاً انوائس یا PDF کو کھولنے سے پہلے تصدیق کریں۔
•صرف دستخط شدہ ایپلیکیشنز کو چلنے کی اجازت دیں۔
•یوزرز کو اسپیر فشنگ کے بارے میں ٹریننگ دیں۔
نتیجہ
HttpTroy بیک ڈور کا انکشاف اس بات کا واضح ثبوت ہے کہ شمالی کوریا کے ہیکرز نہ صرف اپنے پرانے میلویئرز کو برقرار رکھے ہوئے ہیں بلکہ انہیں مزید پیچیدہ بنا رہے ہیں۔
یہ حملے جدید اوبسکیوریشن، خفیہ مواصلات، اور فائل لیس ایکزیکیوشن کے امتزاج سے کیے جارہے ہیں — جس سے ان کا پتہ لگانا مشکل ہوجاتا ہے۔
سائبر دفاع کرنے والی تنظیموں کو چاہیئے کہ وہ رویے (behavior) پر مبنی ڈیٹیکشن کو ترجیح دیں، AhnlabUpdate جیسے جعلی ٹاسک کی نگرانی کریں، اور یوزر ایجوکیشن و ایپلیکیشن کنٹرولز کو مضبوط بنائیں۔
سورس
https://thehackernews.com/2025/11/new-httptroy-backdoor-poses-as-vpn.html?m=1
