Xctdoor Backdoor

Egy dél-koreai ERP (Enterprise Resource Planning) gyártó frissítési kiszolgálója kompromittálódott, mivel az Xctdoor nevű Go-alapú hátsó ajtót terjeszti. A kutatók 2024 májusában fedezték fel ezt a támadást, és bár nem határoztak meg egy konkrét fenyegetés szereplőt vagy csoportot, hasonlóságokat fedeztek fel az Andariel , a hírhedt Lazarus Group alcsoportja által alkalmazott taktikával.

Ezek a taktikák az észak-koreai ellenféllel kapcsolatos múltbeli incidenseket tükrözik, aki korábban az ERP-megoldást használta rosszindulatú programok, például a HotCroissant (más néven Rifdoor ) terjesztésére 2017-ben. Ezt úgy érték el, hogy rosszindulatú kódot ültettek be egy szoftverfrissítési mechanizmusba.

Az Xctdoor Backdoor számos káros képességgel látja el a támadókat

A támadáselemzés során megállapították, hogy a végrehajtható fájlt úgy módosították, hogy egy DLL-fájlt futtasson egy adott útvonalról a regsvr32.exe folyamat használatával, ahelyett, hogy letöltött volna. Ez az Xctdoor néven ismert DLL-fájl rendelkezik olyan rendszerinformációk rögzítésére, mint a billentyűleütések, képernyőképek és vágólap tartalma, valamint a támadó által kiadott parancsok végrehajtása.

Az Xctdoor egy Command-and-Control (C2) szerverrel kommunikál HTTP-n keresztül, a Mersenne Twister (MT19937) és a Base64 algoritmusokat használó csomagtitkosítással. A támadás egy másik, XcLoader nevű malware-változatot is érint, amely az Xctdoor-t olyan legitim folyamatokba juttatja, mint az „explorer.exe”. A legújabb felfedezések olyan esetekre utalnak, amikor legalább 2024 márciusa óta nem megfelelően védett webszervereket veszélyeztettek az XcLoader telepítéséhez.

Ugyanaz a folyamat, amelyet más rosszindulatú programok is visszaélnek

A regsvr32.exe folyamatot más, Észak-Koreához kapcsolódó kampányokban is kihasználták, nevezetesen a Kimsuky APT csoport. A HappyDoor nevű, nem titkolt hátsó ajtót használták, amely legalább 2021 júliusa óta működik.

Ezek a támadássorozatok általában egy tömörített fájlt terjesztő adathalász e-mailekkel kezdődnek. Ebben az archívumban egy elhomályosított JavaScript vagy dropper található, amely a végrehajtás után elindítja a HappyDoor-t egy csalifájl mellett. A Regsvr32.exe-n keresztül DLL-fájlként megvalósított HappyDoor kommunikációt létesít egy távoli szerverrel HTTP-n keresztül. Funkciói közé tartozik az adatlopás, a fájlletöltési/feltöltési képességek, valamint a folyamatok önfrissítésének és leállításának képessége.

A hátsó ajtó fertőzései súlyos következményekkel járhatnak az áldozatokra nézve

A backdoor malware fertőzések áldozatai súlyos következményekkel nézhetnek szembe e fenyegetések lopakodó és tartós jellege miatt. Íme néhány lehetséges hatás:

• Adatlopás : A hátsó ajtók gyakran lehetővé teszik a támadók számára, hogy személyes információkat, például bejelentkezési adatokat, pénzügyi adatokat, szellemi tulajdont és személyes fájlokat gyűjtsenek be. Ezek az összegyűjtött adatok pénzügyi haszonszerzésre vagy további támadásokra felhasználhatók.
• Felügyelet és megfigyelés : A hátsó ajtók lehetővé tehetik a támadók számára az áldozat tevékenységeinek megfigyelését és megfigyelését, beleértve a billentyűleütéseket, képernyőképeket, webkamerás hírcsatornákat és mikrofonbevitelt. A magánélet ilyen jellegű megsértése személyes vagy vállalati kémkedéshez vezethet.
• Jogosulatlan hozzáférés : A támadók hosszan tartó illetéktelen hozzáférést kaphatnak a feltört rendszerekhez. Ez a hozzáférés felhasználható a rendszerek manipulálására vagy szabotálására, a műveletek megzavarására vagy akár további rosszindulatú programok telepítésére.
• Rendszerkompromisszum : A hátsó ajtók gyakran gyengítik a rendszer általános biztonsági helyzetét, így ki van téve a további kizsákmányolásnak. Ez a hálózaton belüli más csatlakoztatott rendszerek vagy erőforrások kompromittálásához vezethet.
• Pénzügyi veszteség : A vállalkozások pénzügyi veszteségeket szenvedhetnek el pénzeszközök ellopása, üzleti lehetőségek elvesztése, jogi kötelezettségek, valamint a helyreállítási és helyreállítási erőfeszítésekkel kapcsolatos költségek miatt.
• Hírnév károsodása : A szervezetek számára a hátsó ajtó fertőzése hírnévkárosodáshoz, az ügyfelek bizalmának elvesztéséhez és a márka értékének csökkenéséhez vezethet. Ennek hosszú távú következményei lehetnek az üzleti kapcsolatokra és a működésre.
• Működési zavar : A hátsó ajtók megzavarhatják a normál működést azáltal, hogy rendszerösszeomlást, lassulást vagy szolgáltatásmegtagadási feltételeket okoznak. Ez leálláshoz, termelékenységcsökkenéshez és pénzügyi hatásokhoz vezethet a megszakadt szolgáltatások miatt.
• Szabályozási és megfelelőségi problémák : A szervezetekre hatósági bírságok és jogi következmények vonatkozhatnak, ha a feltört rendszerek az adatvédelmi törvények vagy iparági szabályozások hatálya alá tartozó érzékeny adatokat kezelnek.
• Az észlelés és az eltávolítás nehézségei : A hátsó ajtókat úgy tervezték, hogy elkerüljék az észlelést olyan biztonsági intézkedésekkel, mint például a rosszindulatú programok elleni szoftverek és a tűzfalak. Ezek észlelése és teljes eltávolítása kihívást jelenthet, speciális ismereteket és eszközöket igényel.
• Hosszú távú sebezhetőség : A feltört rendszerek még a kezdeti helyreállítás után is sebezhetőek maradhatnak a jövőbeli támadásokkal vagy az elszánt támadók folyamatos hátsó ajtón történő újraaktiválási kísérleteivel szemben.

Összességében elmondható, hogy a backdoor rosszindulatú programfertőzések következményei súlyosak és sokrétűek lehetnek, mind az egyéneket, mind a szervezeteket pénzügyi, működési és hírnévkárosító hatással, valamint magánéletüket és biztonságukat veszélyeztetve.