Xctdoor Backdoor

Etelä-Korean ERP (Enterprise Resource Planning) -toimittajan päivityspalvelin havaittiin vaarantuneen, ja se jakelee Go-pohjaista takaovea nimeltä Xctdoor. Tutkijat paljastivat tämän hyökkäyksen toukokuussa 2024, ja vaikka he eivät osoittaneet tiettyä uhkatekijää tai ryhmää, he huomasivat yhtäläisyyksiä Andarielin , pahamaineiseen Lazarus-ryhmään liittyvän alaryhmän, käyttämien taktiikoiden kanssa.

Nämä taktiikat toistavat aiempia tapauksia, joissa Pohjois-Korean vastustaja on aiemmin käyttänyt ERP-ratkaisua levittääkseen haittaohjelmia, kuten HotCroissant (tunnetaan myös nimellä Rifdoor ) vuonna 2017. Tämä saavutettiin istuttamalla haittakoodia ohjelmistopäivitysmekanismiin.

Xctdoor Backdoor tarjoaa hyökkääjille lukuisia haitallisia ominaisuuksia

Hyökkäysanalyysin aikana havaittiin, että suoritettavaa tiedostoa muutettiin suorittamaan DLL-tiedosto tietystä polusta käyttämällä regsvr32.exe-prosessia latausohjelman käynnistämisen sijaan. Tämä DLL-tiedosto, joka tunnetaan nimellä Xctdoor, pystyy kaappaamaan järjestelmätietoja, kuten näppäinpainalluksia, kuvakaappauksia ja leikepöydän sisältöä, sekä suorittaa hyökkääjän antamia komentoja.

Xctdoor kommunikoi Command-and-Control (C2) -palvelimen kanssa HTTP:n kautta, ja pakettisalaus käyttää Mersenne Twister (MT19937)- ja Base64-algoritmeja. Hyökkäykseen liittyy myös toinen haittaohjelmaversio nimeltä XcLoader, joka on suunniteltu ruiskuttamaan Xctdoor laillisiin prosesseihin, kuten 'explorer.exe'. Viimeaikaiset havainnot osoittavat tapauksia, joissa riittämättömästi suojattuja Web-palvelimia on vaarantunut asentamaan XcLoader ainakin maaliskuusta 2024 lähtien.

Samaa prosessia käyttävät väärin muut haittaohjelmauhat

Regsvr32.exe-prosessia on hyödynnetty muissa Pohjois-Koreaan liittyvissä kampanjoissa, erityisesti Kimsuky APT -ryhmässä. He ovat käyttäneet julkistamatonta HappyDoor-nimistä takaovea, joka on toiminut ainakin heinäkuusta 2021 lähtien.

Nämä hyökkäyssarjat alkavat yleensä keihäs-phishing-sähköpostiviesteistä, jotka jakavat pakatun tiedoston. Tästä arkistosta löytyy hämärtynyt JavaScript tai dropperi, joka suoritettuaan käynnistää HappyDoorin houkutustiedoston rinnalla. HappyDoor, joka on toteutettu DLL-tiedostona regsvr32.exe:n kautta, muodostaa yhteyden etäpalvelimeen HTTP:n kautta. Sen toimintoja ovat muun muassa tietojen varkaus, tiedostojen lataus/latausominaisuudet sekä mahdollisuus itse päivittää ja lopettaa prosesseja.

Takaoven infektioilla voi olla vakavia seurauksia uhreille

Takaoven haittaohjelmatartuntojen uhrit voivat kohdata vakavia seurauksia näiden uhkien salaperäisyyden ja jatkuvan luonteen vuoksi. Tässä on joitain mahdollisia vaikutuksia:

• Datavarkaus : Takaovien avulla hyökkääjät voivat usein kerätä yksityisiä tietoja, kuten kirjautumistietoja, taloustietoja, immateriaalioikeuksia ja henkilökohtaisia tiedostoja. Näitä kerättyjä tietoja voidaan hyödyntää taloudellisen hyödyn saamiseksi tai käyttää uusiin hyökkäyksiin.
• Valvonta ja valvonta : Takaovien avulla hyökkääjät voivat seurata ja tarkkailla uhrin toimintaa, mukaan lukien näppäinpainallukset, kuvakaappaukset, verkkokamerasyötteet ja mikrofoni. Tämä yksityisyyden loukkaaminen voi johtaa henkilökohtaiseen tai yritysvakoiluun.
• Luvaton käyttö : Hyökkääjät voivat päästä pitkään luvattomasti vaarantuneisiin järjestelmiin. Tätä pääsyä voidaan käyttää järjestelmien manipulointiin tai sabotointiin, toimintojen häiriintymiseen tai jopa lisähaittaohjelmien käyttöönottamiseksi.
• Järjestelmän kompromissi : Takaovet heikentävät usein järjestelmän yleistä suojausasentoa, mikä tekee siitä haavoittuvan uudelle hyväksikäytölle. Tämä voi johtaa muiden kytkettyjen järjestelmien tai verkon resurssien vaarantumiseen.
• Taloudellinen menetys : Yritykset voivat kärsiä taloudellisia tappioita varojen varastamisen, liiketoimintamahdollisuuksien menettämisen, oikeudellisten vastuiden ja korjaus- ja palautustoimiin liittyvien kustannusten vuoksi.
• Mainevaurio : Organisaatioille takaoven tartunta voi johtaa mainevaurioihin, asiakkaiden luottamuksen menettämiseen ja tuotemerkin arvon heikkenemiseen. Tällä voi olla pitkäaikaisia vaikutuksia liikesuhteisiin ja toimintaan.
• Toimintahäiriöt : Takaovet voivat häiritä normaalia toimintaa aiheuttamalla järjestelmän kaatumisia, hidastuksia tai palvelunestotilanteita. Tämä voi aiheuttaa seisokkeja, tuottavuuden menetystä ja taloudellisia vaikutuksia häiriintyneiden palveluiden vuoksi.
• Sääntely- ja vaatimustenmukaisuusongelmat : Organisaatiot voivat kohdata säännösten mukaisia sakkoja ja oikeudellisia seurauksia, jos vaarantuneet järjestelmät käsittelevät arkaluontoisia tietoja tietosuojalakien tai alan säädösten alaisina.
• Tunnistamisen ja poistamisen vaikeus : Takaovet on suunniteltu välttämään havaitseminen turvatoimilla, kuten haittaohjelmien torjuntaohjelmistolla ja palomuurilla. Niiden havaitseminen ja poistaminen kokonaan voi olla haastavaa ja vaatii erikoisosaamista ja työkaluja.
• Pitkäaikainen haavoittuvuus : Jopa alustavan korjauksen jälkeen vaarantuneet järjestelmät voivat pysyä alttiina tuleville hyökkäyksille tai päättäväisten hyökkääjien jatkuville takaoven uudelleenaktivointiyrityksille.

Kaiken kaikkiaan takaoven haittaohjelmatartuntojen seuraukset voivat olla vakavia ja monitahoisia, ja ne voivat vaikuttaa sekä yksilöihin että organisaatioihin taloudellisten, toiminnallisten ja mainevaurioiden osalta sekä vaarantaa heidän yksityisyytensä ja turvallisuutensa.