Xctdoor tagauks

Avastati, et Lõuna-Korea ERP (Enterprise Resource Planning) müüja värskendusserver on ohus, levitades Go-põhist tagaust nimega Xctdoor. Teadlased avastasid selle rünnaku 2024. aasta mais ja kuigi nad ei tuvastanud konkreetset ohutegijat või rühmitust, märkisid nad sarnasusi taktikaga, mida kasutas Andariel , kurikuulsa Lazaruse rühmaga seotud alarühm.

Need taktikad kajastavad mineviku intsidente Põhja-Korea vastasega, kes varem kasutas ERP-lahendust pahavara, nagu HotCroissant (tuntud ka kui Rifdoor ) levitamiseks 2017. aastal. See saavutati pahatahtliku koodi implanteerimisega tarkvaravärskendusmehhanismi.

Xctdoor Backdoor pakub ründajatele arvukalt kahjulikke võimeid

Rünnakuanalüüsi käigus tehti kindlaks, et käivitatavat faili muudeti DLL-faili käitamiseks kindlal teel, kasutades regsvr32.exe protsessi, selle asemel et käivitada allalaadija. See DLL-fail, tuntud kui Xctdoor, suudab hõivata süsteemiteavet, nagu klahvivajutused, ekraanipildid ja lõikelaua sisu, ning täita ründaja antud käske.

Xctdoor suhtleb Command-and-Control (C2) serveriga HTTP kaudu, kasutades pakettakrüptimist Mersenne Twisteri (MT19937) ja Base64 algoritmide abil. Rünnak hõlmab ka teist pahavara varianti nimega XcLoader, mis on loodud Xctdoori süstimiseks seaduslikesse protsessidesse, nagu 'explorer.exe'. Hiljutised leiud näitavad juhtumeid, kus ebapiisavalt turvatud veebiserverid on XcLoaderi installimiseks ohustatud alates 2024. aasta märtsist.

Sama protsessi kuritarvitavad muud pahavaraohud

Regsvr32.exe protsessi on kasutatud teistes Põhja-Koreaga seotud kampaaniates, eelkõige Kimsuky APT grupi poolt. Nad on kasutanud avaldamata tagaust nimega HappyDoor, mis on töötanud vähemalt 2021. aasta juulist.

Need rünnakute jadad algavad tavaliselt kokkusurutud faili levitatavate andmepüügimeilidega. Sellest arhiivist leitakse ähmane JavaScript või tilguti, mis käivitab täitmisel koos peibutusfailiga HappyDoori. HappyDoor, mis on realiseeritud DLL-failina regsvr32.exe kaudu, loob side kaugserveriga HTTP kaudu. Selle funktsioonid hõlmavad andmete vargust, failide alla-/üleslaadimisvõimalusi ning võimalust protsesse ise värskendada ja lõpetada.

Tagaukse infektsioonidel võivad olla ohvritele rasked tagajärjed

Tagaukse pahavara nakatumise ohvrid võivad nende ohtude varguse ja püsiva olemuse tõttu silmitsi seista tõsiste tagajärgedega. Siin on mõned võimalikud mõjud:

• Andmete vargus : tagauksed võimaldavad ründajatel sageli koguda privaatset teavet, nagu sisselogimismandaadid, finantsandmed, intellektuaalomand ja isiklikud failid. Neid kogutud andmeid saab kasutada rahalise kasu saamiseks või kasutada edasistes rünnakutes.
• Järelevalve ja jälgimine : tagauksed võivad võimaldada ründajatel jälgida ja jälgida ohvri tegevust, sealhulgas klahvivajutusi, ekraanipilte, veebikaamera vooge ja mikrofoni sisendit. Selline privaatsuse rikkumine võib viia isikliku või ettevõtte spionaažini.
• Volitamata juurdepääs : ründajad võivad saada pikaajalist volitamata juurdepääsu ohustatud süsteemidele. Seda juurdepääsu saab kasutada süsteemide manipuleerimiseks või saboteerimiseks, toimingute katkestamiseks või isegi täiendava pahavara juurutamiseks.
• Süsteemi kompromiss : tagauksed nõrgendavad sageli süsteemi üldist turvalisust, muutes selle edasise ärakasutamise suhtes haavatavaks. See võib viia teiste ühendatud süsteemide või võrgu ressursside kahjustamiseni.
• Rahaline kaotus : ettevõtted võivad kanda rahalist kahju rahaliste vahendite varguse, ärivõimaluste kaotamise, juriidiliste kohustuste ning heastamis- ja taastamistegevusega seotud kulude tõttu.
• Mainekahju : organisatsioonide jaoks võib tagaukse nakatumine põhjustada maine kahjustamist, klientide usalduse kaotust ja kaubamärgi väärtuse vähenemist. Sellel võivad olla pikaajalised tagajärjed ärisuhetele ja tegevusele.
• Tööhäired : tagauksed võivad häirida tavalisi toiminguid, põhjustades süsteemi kokkujooksmisi, aeglustusi või teenuse keelamise tingimusi. See võib põhjustada katkestuste tõttu seisakuid, tootlikkuse vähenemist ja finantsmõjusid.
• Regulatiivsed ja vastavusprobleemid : kui ohustatud süsteemid töötlevad tundlikke andmeid, mille suhtes kehtivad privaatsusseadused või valdkonna eeskirjad, võivad organisatsioonid saada regulatiivsed trahvid ja õiguslikud tagajärjed.
• Tuvastamise ja eemaldamise raskused : tagauksed on loodud selleks, et vältida tuvastamist turvameetmetega, nagu pahavaratõrjetarkvara ja tulemüürid. Nende tuvastamine ja täielik eemaldamine võib olla keeruline, nõudes eriteadmisi ja -tööriistu.
• Pikaajaline haavatavus : isegi pärast esialgset parandamist võivad ohustatud süsteemid jääda haavatavaks tulevaste rünnakute või kindlameelsete ründajate pidevate tagaukse taasaktiveerimiskatsete suhtes.

Üldiselt võivad tagaukse pahavaraga nakatumise tagajärjed olla tõsised ja mitmetahulised, mõjutades nii üksikisikuid kui ka organisatsioone rahalise, tegevus- ja mainekahju osas, samuti ohustades nende privaatsust ja turvalisust.