Multi-License Discount Quote
Databáze hrozeb Backdoors Zadní vrátka Xctdoor

Zadní vrátka Xctdoor

V roce Mezo v roce Backdoors, Advanced Persistent Threat (APT)
Přeložit do:
Čeština

Aktualizační server jihokorejského dodavatele ERP (Enterprise Resource Planning) byl objeven jako kompromitovaný a distribuoval backdoor na bázi Go s názvem Xctdoor. Výzkumníci odhalili tento útok v květnu 2024, a přestože nezjistili konkrétního aktéra hrozby nebo skupinu, zaznamenali podobnosti s taktikou používanou Andarielem , podskupinou spojenou s nechvalně známou skupinou Lazarus Group .

Tyto taktiky odrážejí minulé incidenty se severokorejským protivníkem, který dříve v roce 2017 využíval řešení ERP k šíření malwaru, jako je HotCroissant (také známý jako Rifdoor ). Toho bylo dosaženo implantací škodlivého kódu do mechanismu aktualizace softwaru.

Xctdoor Backdoor poskytuje útočníkům četné škodlivé schopnosti

Během analýzy útoku bylo zjištěno, že spustitelný soubor byl změněn tak, aby spouštěl soubor DLL ze specifické cesty pomocí procesu regsvr32.exe namísto spuštění stahovacího programu. Tento soubor DLL, známý jako Xctdoor, má funkce pro zachycení systémových informací, jako jsou stisknuté klávesy, snímky obrazovky a obsah schránky, a provádění příkazů vydaných útočníkem.

Xctdoor komunikuje se serverem Command-and-Control (C2) přes HTTP, s šifrováním paketů pomocí algoritmů Mersenne Twister (MT19937) a Base64. Útok také zahrnuje další variantu malwaru s názvem XcLoader, která je navržena tak, aby vložila Xctdoor do legitimních procesů, jako je 'explorer.exe'. Nedávná zjištění naznačují případy, kdy byly nejméně od března 2024 ohroženy nedostatečně zabezpečené webové servery kvůli instalaci XcLoaderu.

Stejný proces zneužívaný jinými malwarovými hrozbami

Proces regsvr32.exe byl využit v jiných kampaních spojených se Severní Koreou, zejména skupinou Kimsuky APT. Využili nezveřejněná zadní vrátka s názvem HappyDoor, která funguje minimálně od července 2021.

Tyto útočné sekvence obvykle začínají e-maily typu spear-phishing, které distribuují komprimovaný soubor. V tomto archivu je nalezen zmatený JavaScript nebo dropper, který po spuštění spustí HappyDoor spolu s návnadou. HappyDoor, implementovaný jako DLL soubor přes regsvr32.exe, naváže komunikaci se vzdáleným serverem přes HTTP. Mezi jeho funkce patří krádež dat, možnosti stahování/nahrávání souborů a schopnost samoaktualizovat a ukončit procesy.

Infekce zadními vrátky mohou mít pro oběti vážné následky

Oběti infekcí backdoor malwarem mohou čelit vážným následkům kvůli tajné a trvalé povaze těchto hrozeb. Zde jsou některé potenciální dopady:

  • Krádež dat : Zadní vrátka často umožňují útočníkům získat soukromé informace, jako jsou přihlašovací údaje, finanční údaje, duševní vlastnictví a osobní soubory. Tato shromážděná data mohou být zneužita k finančnímu zisku nebo využita k dalším útokům.
  • Sledování a monitorování : Zadní vrátka mohou útočníkům umožnit sledovat a sledovat aktivity oběti, včetně úhozů, snímků obrazovky, zdrojů z webové kamery a vstupu z mikrofonu. Toto narušení soukromí může vést k osobní nebo firemní špionáži.
  • Neoprávněný přístup : Útočníci mohou získat prodloužený neoprávněný přístup k napadeným systémům. Tento přístup lze použít k manipulaci nebo sabotování systémů, narušení operací nebo dokonce k nasazení dalšího malwaru.
  • Kompromis systému : Zadní vrátka často oslabují celkovou bezpečnostní pozici systému a činí jej zranitelným vůči dalšímu zneužití. To může vést ke kompromitaci jiných připojených systémů nebo zdrojů v rámci sítě.
  • Finanční ztráty : Podniky mohou utrpět finanční ztráty v důsledku krádeže finančních prostředků, ztráty obchodních příležitostí, právních závazků a nákladů spojených s nápravou a vymáháním.
  • Poškození reputace : Pro organizace může infekce zadními vrátky vést k poškození pověsti, ztrátě důvěry zákazníků a snížení hodnoty značky. To může mít dlouhodobé důsledky na obchodní vztahy a provoz.
  • Provozní narušení : Zadní vrátka mohou narušit normální provoz tím, že způsobí selhání systému, zpomalení nebo odmítnutí služby. To může mít za následek prostoje, ztrátu produktivity a finanční dopady v důsledku přerušení služeb.
  • Problémy s regulací a dodržováním předpisů : Organizace mohou čelit regulačním pokutám a právním důsledkům, pokud kompromitované systémy zpracovávají citlivá data podléhající zákonům na ochranu soukromí nebo průmyslovým předpisům.
  • Obtížnost detekce a odstranění : Zadní vrátka jsou navržena tak, aby se vyhnula detekci bezpečnostními opatřeními, jako je antimalwarový software a firewally. Jejich úplné odhalení a odstranění může být náročné a vyžaduje specializované znalosti a nástroje.
  • Dlouhodobá zranitelnost : I po počáteční nápravě mohou kompromitované systémy zůstat zranitelné vůči budoucím útokům nebo trvalým pokusům o reaktivaci zadních vrátek ze strany odhodlaných útočníků.

Celkově mohou být důsledky malwarových infekcí typu backdoor vážné a mnohostranné a mohou mít dopad jak na jednotlivce, tak na organizace, pokud jde o finanční, provozní a reputační škody, a také ohrožují jejich soukromí a bezpečnost.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
38,825
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...