Multi-License Discount Quote
Trusseldatabase Backdoors Xctdoor Bagdør

Xctdoor Bagdør

Med Mezo i Backdoors, Advanced Persistent Threat (APT)
Oversæt til:
Dansk

En sydkoreansk ERP (Enterprise Resource Planning)-leverandørs opdateringsserver blev opdaget kompromitteret og distribuerede en Go-baseret bagdør ved navn Xctdoor. Forskere afslørede dette angreb i maj 2024, og selvom de ikke udpegede en specifik trusselsaktør eller gruppe, bemærkede de ligheder med taktik brugt af Andariel , en undergruppe knyttet til den berygtede Lazarus-gruppe .

Disse taktikker gentager tidligere hændelser, der involverede den nordkoreanske modstander, som tidligere udnyttede ERP-løsningen til at sprede malware såsom HotCroissant (også kendt som Rifdoor ) i 2017. Dette blev opnået ved at implantere ondsindet kode i en softwareopdateringsmekanisme.

Xctdoor-bagdøren giver angribere adskillige skadelige egenskaber

Under angrebsanalysen blev det fastslået, at den eksekverbare fil blev ændret til at køre en DLL-fil fra en bestemt sti ved hjælp af regsvr32.exe-processen i stedet for at starte en downloader. Denne DLL-fil, kendt som Xctdoor, besidder kapacitet til at fange systeminformation såsom tastetryk, skærmbilleder og udklipsholderindhold og udføre kommandoer udstedt af angriberen.

Xctdoor kommunikerer med en Command-and-Control (C2) server over HTTP, med pakkekryptering ved hjælp af Mersenne Twister (MT19937) og Base64 algoritmerne. Angrebet involverer også en anden malware-variant ved navn XcLoader, designet til at injicere Xctdoor i legitime processer som 'explorer.exe'. Nylige resultater indikerer tilfælde, hvor utilstrækkeligt sikrede webservere er blevet kompromitteret til at installere XcLoader siden mindst marts 2024.

Den samme proces misbrugt af andre malware-trusler

Regsvr32.exe-processen er blevet udnyttet i andre kampagner knyttet til Nordkorea, især af Kimsuky APT-gruppen. De har brugt en hemmelig bagdør ved navn HappyDoor, som har været i drift siden mindst juli 2021.

Disse angrebssekvenser starter typisk med spear-phishing-e-mails, der distribuerer en komprimeret fil. Inden for dette arkiv findes en sløret JavaScript eller dropper, som ved udførelse lancerer HappyDoor sammen med en lokkefil. HappyDoor, implementeret som en DLL-fil gennem regsvr32.exe, etablerer kommunikation med en ekstern server via HTTP. Dens funktionaliteter omfatter datatyveri, fildownload/upload-funktioner og evnen til selv at opdatere og afslutte processer.

Bagdørsinfektioner kan have alvorlige konsekvenser for ofrene

Ofre for bagdørs malwareinfektioner kan stå over for alvorlige konsekvenser på grund af disse truslers snigende og vedvarende karakter. Her er nogle potentielle påvirkninger:

  • Datatyveri : Bagdøre tillader ofte angribere at høste private oplysninger såsom loginoplysninger, økonomiske data, intellektuel ejendom og personlige filer. Disse indsamlede data kan udnyttes til økonomisk vinding eller bruges i yderligere angreb.
  • Overvågning og overvågning : Bagdøre kan gøre det muligt for angribere at overvåge og overvåge ofrets aktiviteter, herunder tastetryk, skærmbilleder, webcam-feeds og mikrofoninput. Denne krænkelse af privatlivets fred kan føre til personlig spionage eller virksomhedsspionage.
  • Uautoriseret adgang : Angribere kan få langvarig uautoriseret adgang til kompromitterede systemer. Denne adgang kan bruges til at manipulere eller sabotere systemer, forstyrre driften eller endda implementere yderligere malware.
  • Systemkompromis : Bagdøre svækker ofte systemets overordnede sikkerhedsposition, hvilket gør det sårbart over for yderligere udnyttelse. Dette kan føre til kompromittering af andre tilsluttede systemer eller ressourcer i netværket.
  • Økonomisk tab : Virksomheder kan lide økonomiske tab på grund af tyveri af midler, tab af forretningsmuligheder, juridiske forpligtelser og omkostninger forbundet med afhjælpnings- og inddrivelsesindsats.
  • Omdømmeskade : For organisationer kan en bagdørsinfektion føre til skade på omdømmet, tab af kundetillid og formindsket brandværdi. Dette kan have langsigtede konsekvenser for forretningsforbindelser og drift.
  • Driftsforstyrrelser : Bagdøre kan forstyrre normal drift ved at forårsage systemnedbrud, opbremsninger eller lammelsesangreb. Dette kan resultere i nedetid, tab af produktivitet og økonomiske konsekvenser på grund af forstyrrede tjenester.
  • Regulerings- og overholdelsesproblemer : Organisationer kan blive udsat for regulatoriske bøder og juridiske konsekvenser, hvis de kompromitterede systemer håndterer følsomme data underlagt privatlivslove eller industriregler.
  • Vanskeligheder ved registrering og fjernelse : Bagdøre er designet til at undgå registrering ved hjælp af sikkerhedsforanstaltninger såsom anti-malware-software og firewalls. Det kan være udfordrende at opdage og fjerne dem fuldstændigt, og det kræver specialiseret viden og værktøjer.
  • Langsigtet sårbarhed : Selv efter indledende afhjælpning kan kompromitterede systemer forblive sårbare over for fremtidige angreb eller vedvarende genaktiveringsforsøg fra bagdøre fra beslutsomme angribere.

Samlet set kan konsekvenserne af bagdørs-malware-infektioner være alvorlige og mangefacetterede, hvilket påvirker både enkeltpersoner og organisationer med hensyn til økonomisk, operationel og omdømmeskade, samt kompromitterer deres privatliv og sikkerhed.

Trending

Mest sete

Indlæser...