Xctdoor Задна врата

Сървърът за актуализиране на южнокорейски доставчик на ERP (Enterprise Resource Planning) беше открит компрометиран, разпространявайки базирана на Go задна врата, наречена Xctdoor. Изследователите разкриха тази атака през май 2024 г. и въпреки че не посочиха конкретна заплаха или група, те отбелязаха прилики с тактиките, използвани от Andariel , подгрупа, свързана с прословутата група Lazarus .

Тези тактики отразяват минали инциденти, включващи севернокорейския противник, който преди това е използвал ERP решението за разпространение на зловреден софтуер като HotCroissant (известен също като Rifdoor ) през 2017 г. Това беше постигнато чрез имплантиране на зловреден код в механизъм за актуализиране на софтуер.

Задната вратичка на Xctdoor предоставя на нападателите многобройни вредни възможности

По време на анализа на атаката беше установено, че изпълнимият файл е променен, за да стартира DLL файл от определен път, използвайки процеса regsvr32.exe, вместо да инициира програма за изтегляне. Този DLL файл, известен като Xctdoor, притежава възможности за улавяне на системна информация като натискания на клавиши, екранни снимки и съдържание на клипборда и изпълнение на команди, издадени от нападателя.

Xctdoor комуникира със сървър за командване и управление (C2) през HTTP, с криптиране на пакети, използвайки алгоритмите Mersenne Twister (MT19937) и Base64. Атаката включва и друг вариант на зловреден софтуер, наречен XcLoader, предназначен да инжектира Xctdoor в легитимни процеси като „explorer.exe“. Последните констатации показват случаи, при които неадекватно защитени уеб сървъри са били компрометирани, за да инсталират XcLoader поне от март 2024 г.

Същият процес, злоупотребяван от други заплахи от зловреден софтуер

Процесът regsvr32.exe е бил използван в други кампании, свързани със Северна Корея, по-специално от групата Kimsuky APT. Те са използвали неразкрита задна врата, наречена HappyDoor, работеща поне от юли 2021 г.

Тези последователности от атаки обикновено започват с фишинг имейли, разпространяващи компресиран файл. В този архив се намира обфусциран JavaScript или капкомер, който при изпълнение стартира HappyDoor заедно с файл-примамка. HappyDoor, реализиран като DLL файл чрез regsvr32.exe, установява комуникация с отдалечен сървър чрез HTTP. Функционалностите му включват кражба на данни, възможности за изтегляне/качване на файлове и възможност за самоактуализиране и прекратяване на процеси.

Задните инфекции могат да имат тежки последици за жертвите

Жертвите на инфекции със злонамерен софтуер чрез задната вратичка могат да се сблъскат с тежки последствия поради скрития и постоянен характер на тези заплахи. Ето някои потенциални въздействия:

• Кражба на данни : Задните врати често позволяват на нападателите да събират лична информация, като идентификационни данни за вход, финансови данни, интелектуална собственост и лични файлове. Тези събрани данни могат да бъдат експлоатирани за финансова печалба или използвани в по-нататъшни атаки.
• Наблюдение и наблюдение : Задните врати могат да позволят на нападателите да наблюдават и наблюдават дейностите на жертвата, включително натискания на клавиши, екранни снимки, емисии на уеб камера и вход от микрофон. Това нахлуване в поверителността може да доведе до личен или корпоративен шпионаж.
• Неоторизиран достъп : Нападателите могат да получат продължителен неоторизиран достъп до компрометирани системи. Този достъп може да се използва за манипулиране или саботиране на системи, прекъсване на операции или дори внедряване на допълнителен зловреден софтуер.
• Компрометиране на системата : Задните врати често отслабват цялостната позиция на сигурността на системата, правейки я уязвима за по-нататъшна експлоатация. Това може да доведе до компрометиране на други свързани системи или ресурси в мрежата.
• Финансови загуби : Предприятията могат да претърпят финансови загуби поради кражба на средства, загуба на бизнес възможности, правни задължения и разходи, свързани с усилията за саниране и възстановяване.
• Увреждане на репутацията : За организации инфекцията от задната врата може да доведе до увреждане на репутацията, загуба на доверие на клиентите и намалена стойност на марката. Това може да има дългосрочни последици върху бизнес отношенията и операциите.
• Прекъсване на работата : Задните врати могат да нарушат нормалните операции, като причинят системни сривове, забавяне или отказ на обслужване. Това може да доведе до прекъсване, загуба на производителност и финансови въздействия поради прекъсване на услугите.
• Регулаторни въпроси и проблеми със съответствието : Организациите може да се сблъскат с регулаторни глоби и правни последици, ако компрометираните системи обработват чувствителни данни, предмет на закони за поверителност или индустриални разпоредби.
• Трудности при откриване и премахване : Задните врати са проектирани да избегнат откриването чрез мерки за сигурност, като софтуер против зловреден софтуер и защитни стени. Откриването и пълното им премахване може да бъде предизвикателство, което изисква специализирани знания и инструменти.
• Дългосрочна уязвимост : Дори след първоначално коригиране, компрометираните системи може да останат уязвими за бъдещи атаки или постоянни опити за повторно активиране на задната врата от решителни нападатели.

Като цяло, последствията от инфекции със злонамерен софтуер чрез задната вратичка могат да бъдат тежки и многостранни, като засягат както физически лица, така и организации по отношение на финансови, оперативни и репутационни щети, както и компрометиране на тяхната поверителност и сигурност.