Multi-License Discount Quote
Database delle minacce Backdoors Xctdoor Backdoor

Xctdoor Backdoor

Entro Mezo nel Backdoors, Advanced Persistent Threat (APT)
Traduci in:
Italiano

Il server di aggiornamento di un fornitore ERP (Enterprise Resource Planning) sudcoreano è stato scoperto compromesso e distribuiva una backdoor basata su Go denominata Xctdoor. I ricercatori hanno scoperto questo attacco nel maggio 2024 e, sebbene non abbiano individuato uno specifico attore o gruppo di minacce, hanno notato somiglianze con le tattiche utilizzate da Andariel , un sottogruppo legato al famigerato Gruppo Lazarus .

Queste tattiche fanno eco agli incidenti passati che hanno coinvolto l’avversario nordcoreano, che in precedenza aveva sfruttato la soluzione ERP per diffondere malware come HotCroissant (noto anche come Rifdoor ) nel 2017. Ciò è stato ottenuto impiantando codice dannoso in un meccanismo di aggiornamento del software.

La backdoor Xctdoor fornisce agli aggressori numerose funzionalità dannose

Durante l'analisi dell'attacco, è stato stabilito che l'eseguibile è stato modificato per eseguire un file DLL da un percorso specifico utilizzando il processo regsvr32.exe invece di avviare un downloader. Questo file DLL, noto come Xctdoor, possiede funzionalità per acquisire informazioni di sistema come sequenze di tasti, schermate e contenuti degli appunti ed eseguire comandi emessi dall'aggressore.

Xctdoor comunica con un server Command-and-Control (C2) su HTTP, con crittografia dei pacchetti che utilizza gli algoritmi Mersenne Twister (MT19937) e Base64. L'attacco coinvolge anche un'altra variante del malware denominata XcLoader, progettata per iniettare Xctdoor in processi legittimi come "explorer.exe". Recenti scoperte indicano casi in cui server Web non adeguatamente protetti sono stati compromessi per installare XcLoader almeno da marzo 2024.

Lo stesso processo abusato da altre minacce malware

Il processo regsvr32.exe è stato sfruttato in altre campagne legate alla Corea del Nord, in particolare dal gruppo Kimsuky APT. Hanno utilizzato una backdoor segreta denominata HappyDoor, operativa almeno da luglio 2021.

Queste sequenze di attacco iniziano in genere con e-mail di spear phishing che distribuiscono un file compresso. All'interno di questo archivio viene trovato un JavaScript o un dropper offuscato che, una volta eseguito, avvia HappyDoor insieme a un file esca. HappyDoor, implementato come file DLL tramite regsvr32.exe, stabilisce la comunicazione con un server remoto tramite HTTP. Le sue funzionalità includono il furto di dati, funzionalità di download/caricamento di file e la capacità di auto-aggiornamento e terminazione dei processi.

Le infezioni backdoor possono avere gravi conseguenze per le vittime

Le vittime di infezioni da malware backdoor possono affrontare gravi conseguenze a causa della natura furtiva e persistente di queste minacce. Ecco alcuni potenziali impatti:

  • Furto di dati : le backdoor spesso consentono agli aggressori di raccogliere informazioni private come credenziali di accesso, dati finanziari, proprietà intellettuale e file personali. Questi dati raccolti possono essere sfruttati a scopo di lucro o utilizzati per ulteriori attacchi.
  • Sorveglianza e monitoraggio : le backdoor possono consentire agli aggressori di monitorare e sorvegliare le attività della vittima, comprese le sequenze di tasti, gli screenshot, i feed della webcam e l'input del microfono. Questa violazione della privacy può portare allo spionaggio personale o aziendale.
  • Accesso non autorizzato : gli aggressori possono ottenere un accesso non autorizzato prolungato ai sistemi compromessi. Questo accesso può essere utilizzato per manipolare o sabotare sistemi, interrompere le operazioni o persino distribuire malware aggiuntivo.
  • Compromissione del sistema : le backdoor spesso indeboliscono il livello di sicurezza generale del sistema, rendendolo vulnerabile a ulteriori sfruttamenti. Ciò può portare alla compromissione di altri sistemi o risorse connessi all'interno della rete.
  • Perdite finanziarie : le imprese possono subire perdite finanziarie a causa del furto di fondi, della perdita di opportunità commerciali, delle responsabilità legali e dei costi associati agli sforzi di riparazione e recupero.
  • Danni alla reputazione : per le organizzazioni, un’infezione backdoor può portare a danni alla reputazione, perdita di fiducia dei clienti e diminuzione del valore del marchio. Ciò può avere conseguenze a lungo termine sui rapporti commerciali e sulle operazioni.
  • Interruzione operativa : le backdoor possono interrompere le normali operazioni causando arresti anomali del sistema, rallentamenti o condizioni di negazione del servizio. Ciò può comportare tempi di inattività, perdita di produttività e impatti finanziari dovuti all’interruzione dei servizi.
  • Problemi normativi e di conformità : le organizzazioni possono incorrere in sanzioni normative e conseguenze legali se i sistemi compromessi gestiscono dati sensibili soggetti alle leggi sulla privacy o alle normative di settore.
  • Difficoltà di rilevamento e rimozione : le backdoor sono progettate per eludere il rilevamento da parte di misure di sicurezza come software antimalware e firewall. Rilevarli e rimuoverli completamente può essere impegnativo e richiede conoscenze e strumenti specializzati.
  • Vulnerabilità a lungo termine : anche dopo la riparazione iniziale, i sistemi compromessi possono rimanere vulnerabili ad attacchi futuri o tentativi persistenti di riattivazione di backdoor da parte di determinati aggressori.

Nel complesso, le conseguenze delle infezioni da malware backdoor possono essere gravi e molteplici, con un impatto sia sugli individui che sulle organizzazioni in termini di danni finanziari, operativi e reputazionali, oltre a comprometterne la privacy e la sicurezza.

Tendenza

I più visti

Caricamento in corso...