Xctdoor דלת אחורית

שרת העדכונים של ספק ERP (Enterprise Resource Planning) דרום קוריאני התגלה בסיכון, והפיץ דלת אחורית מבוססת Go בשם Xctdoor. חוקרים חשפו את המתקפה הזו במאי 2024, ולמרות שלא זיהו שחקן או קבוצה ספציפית של איום, הם ציינו קווי דמיון לטקטיקות שבהן השתמשה Andriel , תת-קבוצה המקושרת לקבוצת לזרוס הידועה לשמצה.

טקטיקות אלו מהדהדות תקריות עבר בהן היה מעורב היריב הצפון קוריאני, שניצל בעבר את פתרון ה-ERP כדי להפיץ תוכנות זדוניות כגון HotCroissant (הידועה גם בשם Rifdoor ) בשנת 2017. הדבר הושג על ידי השתלת קוד זדוני במנגנון עדכון תוכנה.

הדלת האחורית של Xctdoor מספקת לתוקפים יכולות מזיקות רבות

במהלך ניתוח ההתקפה, נקבע שקובץ ההפעלה השתנה להפעלת קובץ DLL מנתיב ספציפי באמצעות תהליך regsvr32.exe במקום להפעיל הורדה. קובץ DLL זה, המכונה Xctdoor, בעל יכולות ללכידת מידע מערכת כגון הקשות, צילומי מסך ותוכן הלוח, וביצוע פקודות שהופקו על ידי התוקף.

Xctdoor מתקשר עם שרת Command-and-Control (C2) דרך HTTP, עם הצפנת מנות תוך שימוש באלגוריתמים Mersenne Twister (MT19937) ו-Base64. המתקפה כוללת גם וריאנט תוכנה זדונית נוספת בשם XcLoader, שנועדה להחדיר את Xctdoor לתהליכים לגיטימיים כמו 'explorer.exe'. ממצאים אחרונים מצביעים על מקרים שבהם שרתי אינטרנט מאובטחים בצורה לא מספקת נפגעו להתקנת XcLoader מאז מרץ 2024 לפחות.

אותו תהליך מנוצל לרעה על ידי איומי תוכנה זדונית אחרים

תהליך regsvr32.exe נוצל בקמפיינים אחרים המקושרים לצפון קוריאה, בעיקר על ידי קבוצת Kimsuky APT. הם השתמשו בדלת אחורית לא ידועה בשם HappyDoor, הפועלת מאז יולי 2021 לפחות.

רצפי התקפות אלו מתחילים בדרך כלל במיילים של ספייר פישינג המפיצים קובץ דחוס. בתוך ארכיון זה, נמצא JavaScript או טפטפת מעורפל, אשר, לאחר ביצוע, משיק את HappyDoor לצד קובץ פיתוי. HappyDoor, מיושם כקובץ DLL דרך regsvr32.exe, יוצר תקשורת עם שרת מרוחק באמצעות HTTP. הפונקציות שלו כוללות גניבת נתונים, יכולות הורדה/העלאה של קבצים ויכולת לעדכן ולהפסיק תהליכים עצמיים.

לזיהומים בדלת אחורית עלולות להיות השלכות חמורות עבור הקורבנות

קורבנות של זיהומים של תוכנות זדוניות בדלת אחורית עלולים להתמודד עם השלכות חמורות בשל האופי החמקן והמתמשך של איומים אלה. הנה כמה השפעות אפשריות:

• גניבת נתונים : דלתות אחוריות מאפשרות לרוב לתוקפים לאסוף מידע פרטי כגון אישורי התחברות, נתונים פיננסיים, קניין רוחני וקבצים אישיים. ניתן לנצל את הנתונים שנאספו למטרות רווח כספי או להשתמש בהם בהתקפות נוספות.
• מעקב וניטור : דלתות אחוריות עשויות לאפשר לתוקפים לנטר ולעקוב אחר פעילויות הקורבן, כולל הקשות, צילומי מסך, הזנות של מצלמת אינטרנט וקלט מיקרופון. פגיעה זו בפרטיות עלולה להוביל לריגול אישי או תאגידי.
• גישה לא מורשית : תוקפים יכולים לקבל גישה לא מורשית ממושכת למערכות שנפרצו. ניתן להשתמש בגישה זו כדי לתפעל או לחבל במערכות, לשבש פעולות או אפילו לפרוס תוכנות זדוניות נוספות.
• פגיעה במערכת : דלתות אחוריות מחלישות לעתים קרובות את מצב האבטחה הכללי של המערכת, מה שהופך אותה לפגיעה לניצול נוסף. זה יכול להוביל לפשרה של מערכות או משאבים מחוברים אחרים בתוך הרשת.
• הפסד פיננסי : עסקים עלולים לסבול מהפסדים כספיים עקב גניבת כספים, אובדן הזדמנויות עסקיות, התחייבויות משפטיות ועלויות הקשורות למאמצי תיקון והחלמה.
• פגיעה במוניטין : עבור ארגונים, זיהום בדלת אחורית עלולה להוביל לפגיעה במוניטין, לאובדן אמון הלקוחות ולירידה בערך המותג. לכך יכולות להיות השלכות ארוכות טווח על קשרים עסקיים ותפעול.
• הפרעה תפעולית : דלתות אחוריות יכולות לשבש פעולות רגילות על ידי גרימת קריסות מערכת, האטות או תנאי מניעת שירות. הדבר עלול לגרום להשבתה, לאובדן פרודוקטיביות ולהשפעות כספיות עקב שיבושים בשירותים.
• בעיות רגולציה ותאימות : ארגונים עלולים לעמוד בפני קנסות רגולטוריים והשלכות משפטיות אם המערכות שנפרצו מטפלות בנתונים רגישים בכפוף לחוקי הפרטיות או לתקנות התעשייה.
• קושי בזיהוי והסרה : דלתות אחוריות נועדו להתחמק מזיהוי על ידי אמצעי אבטחה כגון תוכנות נגד תוכנות זדוניות וחומות אש. זיהוי והסרה שלהם לחלוטין יכול להיות מאתגר, הדורש ידע וכלים מיוחדים.
• פגיעות ארוכת טווח : גם לאחר תיקון ראשוני, מערכות שנפרצו עשויות להישאר פגיעות להתקפות עתידיות או ניסיונות הפעלה מחדש של דלת אחורית מתמשכת על ידי תוקפים נחושים.

בסך הכל, ההשלכות של זיהומים של תוכנות זדוניות בדלת אחורית יכולות להיות חמורות ורבות פנים, ולהשפיע הן על יחידים והן על ארגונים במונחים של נזק פיננסי, תפעולי ומוניטין, כמו גם פגיעה בפרטיות ובאבטחתם.