Xctdoor 백도어

국내 ERP(Enterprise Resource Planning) 공급업체의 업데이트 서버가 해킹되어 Xctdoor라는 Go 기반 백도어를 배포하는 것으로 밝혀졌습니다. 연구원들은 2024년 5월에 이 공격을 발견했으며, 특정 위협 행위자나 그룹을 정확히 지적하지는 않았지만 악명 높은 Lazarus Group 과 연결된 하위 그룹인 Andariel 이 사용하는 전술과 유사점을 지적했습니다.

이러한 전술은 이전에 2017년에 HotCroissant( Rifdoor 라고도 함)와 같은 악성 코드를 유포하기 위해 ERP 솔루션을 악용했던 북한의 과거 사건을 반영합니다. 이는 소프트웨어 업데이트 메커니즘에 악성 코드를 이식함으로써 달성되었습니다.

Xctdoor 백도어는 공격자에게 수많은 유해한 기능을 제공합니다.

공격 분석 중에 다운로더를 시작하는 대신 regsvr32.exe 프로세스를 사용하여 특정 경로에서 DLL 파일을 실행하도록 실행 파일이 변경된 것으로 확인되었습니다. Xctdoor로 알려진 이 DLL 파일은 키 입력, 스크린샷, 클립보드 내용과 같은 시스템 정보를 캡처하고 공격자가 실행한 명령을 실행하는 기능을 가지고 있습니다.

Xctdoor는 Mersenne Twister(MT19937) 및 Base64 알고리즘을 활용하는 패킷 암호화를 사용하여 HTTP를 통해 명령 및 제어(C2) 서버와 통신합니다. 이 공격에는 'explorer.exe'와 같은 합법적인 프로세스에 Xctdoor를 삽입하도록 설계된 XcLoader라는 또 다른 악성 코드 변종도 포함됩니다. 최근 조사 결과에 따르면 적어도 2024년 3월 이후 보안이 부적절하게 웹 서버가 손상되어 XcLoader를 설치한 사례가 나타났습니다.

다른 악성 코드 위협에 의해 악용되는 동일한 프로세스

regsvr32.exe 프로세스는 북한과 관련된 다른 캠페인, 특히 Kimsuky APT 그룹에서 악용되었습니다. 그들은 적어도 2021년 7월부터 운영되는 HappyDoor라는 이름의 비공개 백도어를 활용했습니다.

이러한 공격 시퀀스는 일반적으로 압축 파일을 배포하는 스피어 피싱 이메일로 시작됩니다. 이 아카이브 내에는 실행 시 미끼 파일과 함께 HappyDoor를 실행하는 난독화된 JavaScript 또는 드로퍼가 발견됩니다. regsvr32.exe를 통해 DLL 파일로 구현된 HappyDoor는 HTTP를 통해 원격 서버와 통신을 설정합니다. 그 기능에는 데이터 도난, 파일 다운로드/업로드 기능, 프로세스 자체 업데이트 및 종료 기능이 포함됩니다.

백도어 감염은 피해자에게 심각한 결과를 초래할 수 있습니다.

백도어 맬웨어 감염의 피해자는 이러한 위협의 은밀하고 지속적인 특성으로 인해 심각한 결과에 직면할 수 있습니다. 다음은 몇 가지 잠재적인 영향입니다.

• 데이터 도난 : 백도어를 통해 공격자는 로그인 자격 증명, 금융 데이터, 지적 재산 및 개인 파일과 같은 개인 정보를 수집할 수 있습니다. 이렇게 수집된 데이터는 금전적 이익을 위해 악용되거나 추가 공격에 사용될 수 있습니다.
• 감시 및 모니터링 : 백도어를 통해 공격자는 키 입력, 스크린샷, 웹캠 피드, 마이크 입력 등 피해자의 활동을 모니터링하고 감시할 수 있습니다. 이러한 개인 정보 침해는 개인 또는 기업의 스파이로 이어질 수 있습니다.
• 무단 액세스 : 공격자는 손상된 시스템에 장기간 무단 액세스할 수 있습니다. 이 액세스는 시스템을 조작 또는 방해하거나, 운영을 방해하거나, 심지어 추가 악성 코드를 배포하는 데 사용될 수 있습니다.
• 시스템 손상 : 백도어는 종종 시스템의 전반적인 보안 상태를 약화시켜 추가 악용에 취약하게 만듭니다. 이로 인해 네트워크 내 연결된 다른 시스템이나 리소스가 손상될 수 있습니다.
• 재정적 손실 : 기업은 자금 절도, 사업 기회 손실, 법적 책임, 구제 및 복구 노력과 관련된 비용으로 인해 재정적 손실을 입을 수 있습니다.
• 평판 손상 : 조직의 경우 백도어 감염은 평판 손상, 고객 신뢰 상실 및 브랜드 가치 하락으로 이어질 수 있습니다. 이는 비즈니스 관계 및 운영에 장기적인 영향을 미칠 수 있습니다.
• 운영 중단 : 백도어는 시스템 충돌, 속도 저하 또는 서비스 거부 조건을 유발하여 정상적인 운영을 중단시킬 수 있습니다. 이로 인해 서비스 중단으로 인한 다운타임, 생산성 손실 및 재정적 영향이 발생할 수 있습니다.
• 규제 및 규정 준수 문제 : 손상된 시스템이 개인 정보 보호법이나 산업 규정에 따라 민감한 데이터를 처리하는 경우 조직은 규제 벌금 및 법적 처벌을 받을 수 있습니다.
• 탐지 및 제거의 어려움 : 백도어는 맬웨어 방지 소프트웨어 및 방화벽과 같은 보안 수단의 탐지를 회피하도록 설계되었습니다. 이를 완전히 탐지하고 제거하는 것은 어려울 수 있으며 전문적인 지식과 도구가 필요합니다.
• 장기적인 취약성 : 초기 치료 후에도 손상된 시스템은 향후 공격이나 단호한 공격자의 지속적인 백도어 재활성화 시도에 취약한 상태로 남아 있을 수 있습니다.

전반적으로 백도어 맬웨어 감염의 결과는 심각하고 다면적일 수 있으며 재정적, 운영적, 평판 손상 측면에서 개인과 조직 모두에 영향을 미칠 뿐만 아니라 개인 정보 보호와 보안을 손상시킬 수 있습니다.