Xctdoor Backdoor

سرور به‌روزرسانی یک فروشنده ERP (برنامه‌ریزی منابع سازمانی) کره جنوبی به خطر افتاده و یک درب پشتی مبتنی بر Go به نام Xctdoor را توزیع می‌کند. محققان این حمله را در می 2024 کشف کردند، و در حالی که عامل یا گروه تهدید خاصی را مشخص نکردند، شباهت هایی را با تاکتیک های مورد استفاده توسط Andariel ، یک زیرگروه مرتبط با گروه بدنام Lazarus، مشاهده کردند.

این تاکتیک‌ها بازتاب حوادث گذشته مربوط به دشمن کره شمالی است که قبلاً از راه‌حل ERP برای انتشار بدافزارهایی مانند HotCroissant (همچنین به عنوان Rifdoor ) در سال 2017 استفاده می‌کرد. این امر با قرار دادن کدهای مخرب در مکانیزم به‌روزرسانی نرم‌افزار به دست آمد.

Xctdoor Backdoor قابلیت های مضر متعددی را در اختیار مهاجمان قرار می دهد

در طول تجزیه و تحلیل حمله، مشخص شد که فایل اجرایی برای اجرای یک فایل DLL از یک مسیر خاص با استفاده از فرآیند regsvr32.exe به جای شروع یک دانلودر، تغییر یافته است. این فایل DLL که با نام Xctdoor شناخته می‌شود، دارای قابلیت‌هایی برای گرفتن اطلاعات سیستم مانند ضربه‌های کلید، اسکرین‌شات‌ها و محتویات کلیپ‌بورد و اجرای دستورات صادر شده توسط مهاجم است.

Xctdoor با یک سرور Command-and-Control (C2) از طریق HTTP، با رمزگذاری بسته با استفاده از الگوریتم های Mersenne Twister (MT19937) و Base64 ارتباط برقرار می کند. این حمله همچنین شامل یک بدافزار دیگر به نام XcLoader است که برای تزریق Xctdoor به فرآیندهای قانونی مانند 'explorer.exe' طراحی شده است. یافته‌های اخیر مواردی را نشان می‌دهد که حداقل از مارس 2024، سرورهای وب با امنیت ناکافی برای نصب XcLoader در معرض خطر قرار گرفته‌اند.

فرآیند مشابهی که توسط سایر تهدیدات بدافزار مورد سوء استفاده قرار می گیرد

فرآیند regsvr32.exe در کمپین های دیگر مرتبط با کره شمالی، به ویژه توسط گروه Kimsuky APT مورد سوء استفاده قرار گرفته است. آنها از یک درب پشتی نامشخص به نام HappyDoor استفاده کرده اند که حداقل از ژوئیه 2021 عملیاتی شده است.

این توالی حملات معمولاً با ایمیل های فیشینگ نیزه ای شروع می شوند که یک فایل فشرده را توزیع می کنند. در این آرشیو، یک جاوا اسکریپت یا قطره چکان مبهم یافت می شود که پس از اجرا، HappyDoor را در کنار یک فایل فریب راه اندازی می کند. HappyDoor که به عنوان یک فایل DLL از طریق regsvr32.exe پیاده سازی شده است، ارتباط با یک سرور راه دور از طریق HTTP برقرار می کند. از ویژگی های آن می توان به سرقت داده ها، قابلیت دانلود/آپلود فایل، و قابلیت به روز رسانی و خاتمه فرآیندها اشاره کرد.

عفونت درب پشتی می تواند عواقب شدیدی برای قربانیان داشته باشد

قربانیان عفونت‌های بدافزارهای پشتی می‌توانند به دلیل ماهیت پنهان و مداوم این تهدیدها با عواقب شدیدی روبرو شوند. در اینجا برخی از تأثیرات احتمالی وجود دارد:

• سرقت داده ها : درهای پشتی اغلب به مهاجمان اجازه می دهد تا اطلاعات خصوصی مانند اعتبارنامه ورود، داده های مالی، مالکیت معنوی و فایل های شخصی را جمع آوری کنند. این داده های جمع آوری شده می تواند برای منافع مالی مورد سوء استفاده قرار گیرد یا در حملات بعدی مورد استفاده قرار گیرد.
• نظارت و نظارت : درهای پشتی ممکن است مهاجمان را قادر به نظارت و نظارت بر فعالیت های قربانی، از جمله ضربه زدن به کلید، اسکرین شات، فید وب کم و ورودی میکروفون کنند. این تجاوز به حریم خصوصی می تواند منجر به جاسوسی شخصی یا شرکتی شود.
• دسترسی غیرمجاز : مهاجمان می توانند دسترسی غیرمجاز طولانی مدت به سیستم های در معرض خطر داشته باشند. این دسترسی می تواند برای دستکاری یا خرابکاری سیستم ها، اختلال در عملیات یا حتی استقرار بدافزار اضافی مورد استفاده قرار گیرد.
• به خطر افتادن سیستم : درهای پشتی اغلب وضعیت امنیتی کلی سیستم را تضعیف می کنند و آن را در برابر بهره برداری بیشتر آسیب پذیر می کنند. این می تواند منجر به به خطر افتادن سایر سیستم ها یا منابع متصل در شبکه شود.
• زیان مالی : کسب‌وکارها ممکن است به دلیل سرقت وجوه، از دست دادن فرصت‌های تجاری، تعهدات قانونی و هزینه‌های مرتبط با تلاش‌های اصلاحی و بازیابی متحمل زیان‌های مالی شوند.
• آسیب به شهرت : برای سازمان‌ها، عفونت در پشتی می‌تواند منجر به آسیب به شهرت، از دست دادن اعتماد مشتری و کاهش ارزش برند شود. این می تواند پیامدهای بلندمدتی بر روابط تجاری و عملیات داشته باشد.
• اختلال در عملیات : درهای پشتی می توانند با ایجاد خرابی سیستم، کاهش سرعت یا محرومیت از شرایط سرویس، عملکرد عادی را مختل کنند. این می تواند منجر به خرابی، از دست دادن بهره وری و اثرات مالی ناشی از اختلال در خدمات شود.
• مسائل مربوط به مقررات و انطباق : اگر سیستم‌های در معرض خطر داده‌های حساس را مشمول قوانین حفظ حریم خصوصی یا مقررات صنعتی مدیریت کنند، ممکن است سازمان‌ها با جریمه‌های قانونی و عواقب قانونی مواجه شوند.
• دشواری در تشخیص و حذف : درهای پشتی به گونه ای طراحی شده اند که با اقدامات امنیتی مانند نرم افزارهای ضد بدافزار و فایروال ها از شناسایی جلوگیری کنند. شناسایی و حذف کامل آنها می تواند چالش برانگیز باشد و به دانش و ابزار تخصصی نیاز دارد.
• آسیب‌پذیری طولانی‌مدت : حتی پس از اصلاح اولیه، سیستم‌های در معرض خطر ممکن است در برابر حملات آینده یا تلاش‌های مداوم برای فعال‌سازی مجدد درب پشتی توسط مهاجمان مصمم آسیب‌پذیر باقی بمانند.

به طور کلی، عواقب آلودگی‌های بدافزارهای پشتی می‌تواند شدید و چندوجهی باشد و بر افراد و سازمان‌ها از نظر آسیب مالی، عملیاتی و اعتباری و همچنین به خطر انداختن حریم خصوصی و امنیت آنها تأثیر بگذارد.