Xctdoor बैकडोर

दक्षिण कोरियाई ईआरपी (एंटरप्राइज़ रिसोर्स प्लानिंग) विक्रेता के अपडेट सर्वर को समझौता किया गया था, जो Xctdoor नामक एक गो-आधारित बैकडोर वितरित कर रहा था। शोधकर्ताओं ने मई 2024 में इस हमले का खुलासा किया, और जबकि उन्होंने किसी विशिष्ट खतरे वाले अभिनेता या समूह को इंगित नहीं किया, उन्होंने कुख्यात लाजरस समूह से जुड़े एक उपसमूह, एंडारियल द्वारा इस्तेमाल की जाने वाली रणनीति के साथ समानताएं देखीं।

ये रणनीति उत्तर कोरियाई विरोधी से जुड़ी पिछली घटनाओं की याद दिलाती है, जिन्होंने 2017 में हॉटक्रोइसैंट (जिसे रिफ़डोर के रूप में भी जाना जाता है) जैसे मैलवेयर को फैलाने के लिए ईआरपी समाधान का फायदा उठाया था। यह एक सॉफ्टवेयर अपडेट तंत्र में दुर्भावनापूर्ण कोड को आरोपित करके हासिल किया गया था।

Xctdoor बैकडोर हमलावरों को कई हानिकारक क्षमताएं प्रदान करता है

हमले के विश्लेषण के दौरान, यह निर्धारित किया गया कि डाउनलोडर शुरू करने के बजाय regsvr32.exe प्रक्रिया का उपयोग करके एक विशिष्ट पथ से DLL फ़ाइल चलाने के लिए निष्पादन योग्य को बदल दिया गया था। Xctdoor के रूप में जानी जाने वाली यह DLL फ़ाइल, कीस्ट्रोक्स, स्क्रीनशॉट और क्लिपबोर्ड सामग्री जैसी सिस्टम जानकारी को कैप्चर करने और हमलावर द्वारा जारी किए गए आदेशों को निष्पादित करने की क्षमता रखती है।

Xctdoor HTTP पर कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार करता है, जिसमें पैकेट एन्क्रिप्शन के साथ Mersenne Twister (MT19937) और Base64 एल्गोरिदम का उपयोग किया जाता है। इस हमले में XcLoader नामक एक अन्य मैलवेयर वैरिएंट भी शामिल है, जिसे 'explorer.exe' जैसी वैध प्रक्रियाओं में Xctdoor को इंजेक्ट करने के लिए डिज़ाइन किया गया है। हाल के निष्कर्षों से ऐसे उदाहरण मिलते हैं जहाँ अपर्याप्त रूप से सुरक्षित वेब सर्वरों को कम से कम मार्च 2024 से XcLoader को स्थापित करने के लिए समझौता किया गया है।

अन्य मैलवेयर खतरों द्वारा भी इसी प्रक्रिया का दुरुपयोग किया जाता है

regsvr32.exe प्रक्रिया का इस्तेमाल उत्तर कोरिया से जुड़े अन्य अभियानों में किया गया है, खास तौर पर किमसुकी APT समूह द्वारा। उन्होंने हैप्पीडोर नामक एक अज्ञात बैकडोर का इस्तेमाल किया है, जो कम से कम जुलाई 2021 से चालू है।

ये हमले क्रम आम तौर पर स्पीयर-फ़िशिंग ईमेल से शुरू होते हैं जो एक संपीड़ित फ़ाइल वितरित करते हैं। इस संग्रह के भीतर, एक अस्पष्ट जावास्क्रिप्ट या ड्रॉपर पाया जाता है, जो निष्पादन पर, एक नकली फ़ाइल के साथ हैप्पीडोर लॉन्च करता है। हैप्पीडोर, regsvr32.exe के माध्यम से एक DLL फ़ाइल के रूप में कार्यान्वित किया जाता है, HTTP के माध्यम से एक दूरस्थ सर्वर के साथ संचार स्थापित करता है। इसकी कार्यक्षमताओं में डेटा चोरी, फ़ाइल डाउनलोड/अपलोड क्षमताएं, और प्रक्रियाओं को स्वयं अपडेट करने और समाप्त करने की क्षमता शामिल है।

बैकडोर संक्रमण से पीड़ितों को गंभीर परिणाम भुगतने पड़ सकते हैं

इन खतरों की गुप्त और लगातार प्रकृति के कारण बैकडोर मैलवेयर संक्रमण के शिकार लोगों को गंभीर परिणाम भुगतने पड़ सकते हैं। यहाँ कुछ संभावित प्रभाव दिए गए हैं:

• डेटा चोरी : बैकडोर अक्सर हमलावरों को निजी जानकारी जैसे लॉगिन क्रेडेंशियल, वित्तीय डेटा, बौद्धिक संपदा और व्यक्तिगत फ़ाइलों को चुराने की अनुमति देते हैं। इस एकत्रित डेटा का इस्तेमाल वित्तीय लाभ के लिए किया जा सकता है या आगे के हमलों में इस्तेमाल किया जा सकता है।
• निगरानी और मॉनीटरिंग : बैकडोर हमलावरों को पीड़ित की गतिविधियों पर नज़र रखने और उन पर नज़र रखने में सक्षम बना सकते हैं, जिसमें कीस्ट्रोक्स, स्क्रीनशॉट, वेबकैम फ़ीड और माइक्रोफ़ोन इनपुट शामिल हैं। गोपनीयता के इस उल्लंघन से व्यक्तिगत या कॉर्पोरेट जासूसी हो सकती है।
• अनधिकृत पहुँच : हमलावर समझौता किए गए सिस्टम तक लंबे समय तक अनधिकृत पहुँच प्राप्त कर सकते हैं। इस पहुँच का उपयोग सिस्टम में हेरफेर या तोड़फोड़ करने, संचालन को बाधित करने या अतिरिक्त मैलवेयर तैनात करने के लिए किया जा सकता है।
• सिस्टम समझौता : बैकडोर अक्सर सिस्टम की समग्र सुरक्षा स्थिति को कमजोर कर देते हैं, जिससे यह आगे के शोषण के लिए असुरक्षित हो जाता है। इससे नेटवर्क के भीतर अन्य जुड़े सिस्टम या संसाधनों के साथ समझौता हो सकता है।
• वित्तीय हानि : व्यवसायों को धन की चोरी, व्यावसायिक अवसरों की हानि, कानूनी देनदारियों और सुधार एवं वसूली प्रयासों से जुड़ी लागतों के कारण वित्तीय हानि हो सकती है।
• प्रतिष्ठा को नुकसान : संगठनों के लिए, बैकडोर संक्रमण से प्रतिष्ठा को नुकसान, ग्राहक विश्वास की हानि और ब्रांड मूल्य में कमी हो सकती है। इसका व्यावसायिक संबंधों और संचालन पर दीर्घकालिक परिणाम हो सकते हैं।
• परिचालन में व्यवधान : बैकडोर सिस्टम क्रैश, धीमापन या सेवा शर्तों से इनकार करके सामान्य संचालन को बाधित कर सकते हैं। इससे सेवाओं में व्यवधान के कारण डाउनटाइम, उत्पादकता में कमी और वित्तीय प्रभाव हो सकते हैं।
• विनियामक और अनुपालन मुद्दे : यदि समझौता किए गए सिस्टम गोपनीयता कानूनों या उद्योग विनियमों के अधीन संवेदनशील डेटा को संभालते हैं, तो संगठनों को विनियामक जुर्माना और कानूनी परिणामों का सामना करना पड़ सकता है।
• पता लगाने और हटाने में कठिनाई : बैकडोर को एंटी-मैलवेयर सॉफ़्टवेयर और फ़ायरवॉल जैसे सुरक्षा उपायों द्वारा पता लगाने से बचने के लिए डिज़ाइन किया गया है। उनका पता लगाना और उन्हें पूरी तरह से हटाना चुनौतीपूर्ण हो सकता है, जिसके लिए विशेष ज्ञान और उपकरणों की आवश्यकता होती है।
• दीर्घकालिक भेद्यता : प्रारंभिक उपचार के बाद भी, समझौता किए गए सिस्टम भविष्य के हमलों या दृढ़ निश्चयी हमलावरों द्वारा लगातार बैकडोर पुनः सक्रियण प्रयासों के प्रति संवेदनशील बने रह सकते हैं।

कुल मिलाकर, बैकडोर मैलवेयर संक्रमण के परिणाम गंभीर और बहुआयामी हो सकते हैं, जिससे व्यक्तियों और संगठनों दोनों को वित्तीय, परिचालन और प्रतिष्ठा संबंधी क्षति हो सकती है, साथ ही उनकी गोपनीयता और सुरक्षा से भी समझौता हो सकता है।