Вредоносная программа HappyDoor от Kimsuky не является широко известной. Ее образец был впервые обнаружен в 2021 году, и последующие исследования показали, что она использовалась при утечке данных вплоть до 2024 года. Изучение программы показало, что злоумышленники постоянно выпускают патчи для программы. Версия 4.2 программы содержит название "happy" и дату создания 12 января 2024 года.
HappyDoor распространяется группой Kimsuky с помощью фишинговых атак по электронной почте. Программа приходит во вложении, содержащем сжатый файл с JScript или дроппером. После запуска HappyDoor создается и исполняется вместе с легитимными файлами.
Программа HappyDoor имеет уникальную особенность аргументов выполнения, включая использование звездочки и разные аргументы в зависимости от даты. Для распознавания HappyDoor можно проверить аргументы выполнения. В некоторых случаях HappyDoor устанавливается в качестве первого бэкдора.
HappyDoor продолжает развиваться с момента своего первого появления в 2021 году. Версии программы увеличиваются и включают информацию об установке и аргументы C2. Последняя версия, 4.2, была выпущена 20 декабря 2023 года.
Использование HappyDoor было связано с случаями кражи сертификатов по электронной почте. Группа Kimsuky продолжает развиваться и использовать новые методы распространения вредоносной программы HappyDoor.
Indicators of Compromise
URLs
- http://aa.olixa.p-e.kr/index.php
- http://ai.hyyeo.p-e.kr/index.php
- http://app.seoul.minia.ml/kinsa.php
- http://go.ktspace.p-e.kr/index.php
- http://jp.hyyeo.p-e.kr/index.php
- http://on.ktspace.p-e.kr/index.php
- http://uo.zosua.o-r.kr/index.php
- http://users.nya.pub/index.php
MD5
- 0054bdfe4cac0cb7a717749f8c08f5f3
- 4ef5e3ce535f84f975a8212f5630bfe8
- a1c59fec34fec1156e7db27ec16121a7
- c7b82b4bafb677bf0f4397b0b88ccfa2
- d9b15979e76dd5d18c31e62ab9ff7dae
