Xctdoor Porta del darrere

Es va descobrir que el servidor d'actualització d'un proveïdor d'ERP (Enterprise Resource Planning) de Corea del Sud estava compromès, distribuint una porta posterior basada en Go anomenada Xctdoor. Els investigadors van descobrir aquest atac el maig de 2024 i, tot i que no van identificar cap actor o grup d'amenaça específics, van observar semblances amb les tàctiques utilitzades per Andariel , un subgrup vinculat al famós Grup Lazarus .

Aquestes tàctiques es fan ressò d'incidents passats que van implicar l'adversari nord-coreà, que abans va explotar la solució ERP per difondre programari maliciós com HotCroissant (també conegut com Rifdoor ) el 2017. Això es va aconseguir mitjançant la implantació de codi maliciós en un mecanisme d'actualització de programari.

La porta posterior Xctdoor ofereix als atacants nombroses capacitats perjudicials

Durant l'anàlisi de l'atac, es va determinar que l'executable es va alterar per executar un fitxer DLL des d'una ruta específica mitjançant el procés regsvr32.exe en comptes d'iniciar un programa de descàrrega. Aquest fitxer DLL, conegut com a Xctdoor, té capacitats per capturar informació del sistema, com ara pulsacions de tecles, captures de pantalla i contingut del porta-retalls, i executar ordres emeses per l'atacant.

Xctdoor es comunica amb un servidor d'ordres i control (C2) mitjançant HTTP, amb xifratge de paquets que utilitza els algorismes Mersenne Twister (MT19937) i Base64. L'atac també implica una altra variant de programari maliciós anomenada XcLoader, dissenyada per injectar Xctdoor en processos legítims com "explorer.exe". Les troballes recents indiquen casos en què servidors web inadequats s'han vist compromesos per instal·lar XcLoader des d'almenys el març de 2024.

El mateix procés abusat per altres amenaces de programari maliciós

El procés regsvr32.exe ha estat explotat en altres campanyes vinculades a Corea del Nord, especialment pel grup Kimsuky APT. Han utilitzat una porta del darrere no revelada anomenada HappyDoor, operativa almenys des de juliol de 2021.

Aquestes seqüències d'atac solen començar amb correus electrònics de pesca llança que distribueixen un fitxer comprimit. Dins d'aquest arxiu, es troba un JavaScript ofuscat o comptagotes que, en executar-se, llança HappyDoor al costat d'un fitxer señuelo. HappyDoor, implementat com a fitxer DLL mitjançant regsvr32.exe, estableix la comunicació amb un servidor remot mitjançant HTTP. Les seves funcionalitats inclouen el robatori de dades, les capacitats de descàrrega/càrrega de fitxers i la possibilitat d'actualitzar-se i finalitzar processos.

Les infeccions de la porta del darrere poden tenir conseqüències greus per a les víctimes

Les víctimes d'infeccions de programari maliciós de porta posterior poden enfrontar-se a greus conseqüències a causa de la naturalesa sigilosa i persistent d'aquestes amenaces. Aquests són alguns dels possibles impactes:

• Robatori de dades : les portes del darrere sovint permeten als atacants recollir informació privada com ara credencials d'inici de sessió, dades financeres, propietat intel·lectual i fitxers personals. Aquestes dades recopilades es poden aprofitar per obtenir beneficis financers o utilitzar-se en atacs posteriors.
• Vigilància i supervisió : les portes del darrere poden permetre als atacants supervisar i vigilar les activitats de la víctima, incloses les pulsacions de tecles, captures de pantalla, canals de càmera web i entrada de micròfon. Aquesta invasió de la privadesa pot provocar espionatge personal o corporatiu.
• Accés no autoritzat : els atacants poden obtenir un accés prolongat no autoritzat a sistemes compromesos. Aquest accés es pot utilitzar per manipular o sabotejar sistemes, interrompre les operacions o fins i tot desplegar programari maliciós addicional.
• Compromís del sistema : les portes posteriors sovint debiliten la postura general de seguretat del sistema, fent-lo vulnerable a una major explotació. Això pot comportar el compromís d'altres sistemes o recursos connectats dins de la xarxa.
• Pèrdues financeres : les empreses poden patir pèrdues financeres a causa del robatori de fons, la pèrdua d'oportunitats de negoci, les responsabilitats legals i els costos associats als esforços de reparació i recuperació.
• Danys a la reputació : per a les organitzacions, una infecció de la porta del darrere pot provocar danys a la reputació, pèrdua de confiança dels clients i disminució del valor de la marca. Això pot tenir conseqüències a llarg termini en les relacions comercials i les operacions.
• Interrupció operativa : les portes posteriors poden interrompre les operacions normals provocant fallades del sistema, desacceleraments o condicions de denegació de servei. Això pot provocar temps d'inactivitat, pèrdua de productivitat i impactes financers a causa de la interrupció dels serveis.
• Problemes normatius i de compliment : les organitzacions poden enfrontar-se a multes reguladores i conseqüències legals si els sistemes compromesos gestionen dades sensibles subjectes a les lleis de privadesa o a les regulacions del sector.
• Dificultat en la detecció i eliminació : les portes del darrere estan dissenyades per evitar la detecció mitjançant mesures de seguretat com ara programari anti-malware i tallafocs. Detectar-los i eliminar-los completament pot ser un repte, ja que requereix coneixements i eines especialitzades.
• Vulnerabilitat a llarg termini : fins i tot després de la correcció inicial, els sistemes compromesos poden romandre vulnerables a futurs atacs o intents persistents de reactivació de la porta posterior per part d'atacants determinats.

En general, les conseqüències de les infeccions de programari maliciós de la porta del darrere poden ser greus i polièdriques, afectant tant les persones com les organitzacions en termes de danys financers, operatius i de reputació, a més de comprometre la seva privadesa i seguretat.