Multi-License Discount Quote
قاعدة بيانات التهديد Backdoors Xctdoor مستتر

Xctdoor مستتر

بواسطة Mezo في Backdoors, Advanced Persistent Threat (APT)
ترجمة الى:
العربية

تم اكتشاف اختراق خادم تحديث أحد موردي ERP (تخطيط موارد المؤسسات) في كوريا الجنوبية، مما أدى إلى توزيع باب خلفي يستند إلى Go يسمى Xctdoor. اكتشف الباحثون هذا الهجوم في مايو 2024، وعلى الرغم من أنهم لم يحددوا جهة تهديد أو مجموعة محددة، إلا أنهم لاحظوا أوجه تشابه مع التكتيكات التي تستخدمها Andariel ، وهي مجموعة فرعية مرتبطة بمجموعة Lazarus سيئة السمعة.

تعكس هذه التكتيكات حوادث سابقة تتعلق بالخصم الكوري الشمالي، الذي استغل سابقًا حل تخطيط موارد المؤسسات (ERP) لنشر برامج ضارة مثل HotCroissant (المعروف أيضًا باسم Rifdoor ) في عام 2017. وقد تم تحقيق ذلك من خلال زرع تعليمات برمجية ضارة في آلية تحديث البرامج.

يوفر الباب الخلفي Xctdoor للمهاجمين العديد من القدرات الضارة

أثناء تحليل الهجوم، تم تحديد أنه تم تغيير الملف القابل للتنفيذ لتشغيل ملف DLL من مسار محدد باستخدام عملية regsvr32.exe بدلاً من بدء برنامج التنزيل. يمتلك ملف DLL هذا، المعروف باسم Xctdoor، إمكانات لالتقاط معلومات النظام مثل ضغطات المفاتيح ولقطات الشاشة ومحتويات الحافظة وتنفيذ الأوامر الصادرة عن المهاجم.

يتواصل Xctdoor مع خادم القيادة والتحكم (C2) عبر HTTP، مع تشفير الحزم باستخدام خوارزميات Mersenne Twister (MT19937) وBase64. يتضمن الهجوم أيضًا متغيرًا آخر من البرامج الضارة يسمى XcLoader، وهو مصمم لإدخال Xctdoor في العمليات المشروعة مثل 'explorer.exe'. تشير النتائج الأخيرة إلى الحالات التي تم فيها اختراق خوادم الويب غير المؤمنة بشكل كافٍ لتثبيت XcLoader منذ مارس 2024 على الأقل.

نفس العملية التي يتم إساءة استخدامها من خلال تهديدات البرامج الضارة الأخرى

وقد تم استغلال عملية regsvr32.exe في حملات أخرى مرتبطة بكوريا الشمالية، ولا سيما من قبل مجموعة Kimsuky APT. لقد استخدموا بابًا خلفيًا لم يُكشف عنه يُدعى HappyDoor، ويعمل منذ يوليو 2021 على الأقل.

تبدأ تسلسلات الهجوم هذه عادةً برسائل البريد الإلكتروني التصيدية التي توزع ملفًا مضغوطًا. ضمن هذا الأرشيف، تم العثور على JavaScript أو قطارة غامضة، والتي، عند التنفيذ، تقوم بتشغيل HappyDoor إلى جانب ملف خادع. يقوم HappyDoor، الذي تم تنفيذه كملف DLL من خلال regsvr32.exe، بإنشاء اتصال مع خادم بعيد عبر HTTP. وتشمل وظائفه سرقة البيانات، وإمكانيات تنزيل/تحميل الملفات، والقدرة على التحديث الذاتي وإنهاء العمليات.

يمكن أن يكون للعدوى من الباب الخلفي عواقب وخيمة على الضحايا

يمكن أن يواجه ضحايا عدوى البرمجيات الخبيثة من الباب الخلفي عواقب وخيمة بسبب الطبيعة الخفية والمستمرة لهذه التهديدات. فيما يلي بعض التأثيرات المحتملة:

  • سرقة البيانات : غالبًا ما تسمح الأبواب الخلفية للمهاجمين بجمع المعلومات الخاصة مثل بيانات اعتماد تسجيل الدخول والبيانات المالية والملكية الفكرية والملفات الشخصية. يمكن استغلال هذه البيانات المجمعة لتحقيق مكاسب مالية أو استخدامها في المزيد من الهجمات.
  • المراقبة والمراقبة : قد تمكن الأبواب الخلفية المهاجمين من مراقبة أنشطة الضحية ومراقبتها، بما في ذلك ضغطات المفاتيح ولقطات الشاشة وموجزات كاميرا الويب وإدخال الميكروفون. يمكن أن يؤدي هذا الغزو للخصوصية إلى التجسس الشخصي أو المؤسسي.
  • الوصول غير المصرح به : يمكن للمهاجمين الحصول على وصول غير مصرح به لفترات طويلة إلى الأنظمة المخترقة. يمكن استخدام هذا الوصول للتلاعب بالأنظمة أو تخريبها، أو تعطيل العمليات، أو حتى نشر برامج ضارة إضافية.
  • اختراق النظام : غالبًا ما تؤدي الأبواب الخلفية إلى إضعاف الوضع الأمني العام للنظام، مما يجعله عرضة لمزيد من الاستغلال. يمكن أن يؤدي هذا إلى اختراق الأنظمة أو الموارد المتصلة الأخرى داخل الشبكة.
  • الخسارة المالية : قد تتعرض الشركات لخسائر مالية بسبب سرقة الأموال، وفقدان الفرص التجارية، والالتزامات القانونية والتكاليف المرتبطة بجهود الإصلاح والاسترداد.
  • الإضرار بالسمعة : بالنسبة للمؤسسات، يمكن أن تؤدي العدوى المستترة إلى الإضرار بالسمعة وفقدان ثقة العملاء وتقليل قيمة العلامة التجارية. ويمكن أن يكون لذلك عواقب طويلة المدى على العلاقات والعمليات التجارية.
  • انقطاع العمليات : يمكن أن تؤدي الأبواب الخلفية إلى تعطيل العمليات العادية عن طريق التسبب في تعطل النظام أو تباطؤه أو رفض شروط الخدمة. يمكن أن يؤدي ذلك إلى التوقف عن العمل وفقدان الإنتاجية والآثار المالية بسبب انقطاع الخدمات.
  • المشكلات التنظيمية والامتثال : قد تواجه المؤسسات غرامات تنظيمية وعواقب قانونية إذا تعاملت الأنظمة المخترقة مع بيانات حساسة تخضع لقوانين الخصوصية أو لوائح الصناعة.
  • صعوبة الكشف والإزالة : تم تصميم الأبواب الخلفية لتجنب الكشف عن طريق التدابير الأمنية مثل برامج مكافحة البرامج الضارة وجدران الحماية. قد يكون اكتشافها وإزالتها تمامًا أمرًا صعبًا، ويتطلب معرفة وأدوات متخصصة.
  • الضعف طويل الأمد : حتى بعد المعالجة الأولية، قد تظل الأنظمة المعرضة للخطر عرضة للهجمات المستقبلية أو محاولات إعادة التنشيط المستمرة من قبل مهاجمين مصممين.

بشكل عام، يمكن أن تكون عواقب إصابات البرمجيات الخبيثة شديدة ومتعددة الأوجه، مما يؤثر على الأفراد والمؤسسات من حيث الأضرار المالية والتشغيلية والسمعة، فضلاً عن تعريض خصوصيتهم وأمنهم للخطر.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
38,825
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...