Multi-License Discount Quote
Grėsmių duomenų bazė Backdoors Xctdoor Backdoor

Xctdoor Backdoor

Autorius Mezo, Backdoors, Advanced Persistent Threat (APT)
Versti į:
Lietuvių

Buvo nustatyta, kad Pietų Korėjos ERP (įmonės išteklių planavimo) pardavėjo atnaujinimo serveris buvo pažeistas, platinant Go pagrindu veikiančias galines duris, pavadintas Xctdoor. Tyrėjai atskleidė šią ataką 2024 m. gegužę ir, nors tiksliai nenustatė konkretaus grėsmės veikėjo ar grupės, pastebėjo panašumų su Andariel – pogrupio, susijusio su liūdnai pagarsėjusia Lazarus Group – taktika.

Šios taktikos atkartoja praeities incidentus, susijusius su Šiaurės Korėjos priešu, kuris anksčiau naudojo ERP sprendimą, kad 2017 m. platintų kenkėjiškas programas, tokias kaip HotCroissant (taip pat žinomas kaip Rifdoor ). Tai buvo pasiekta įdiegus kenkėjišką kodą į programinės įrangos atnaujinimo mechanizmą.

„Xctdoor Backdoor“ užpuolikams suteikia daugybę kenksmingų galimybių

Atakos analizės metu buvo nustatyta, kad vykdomasis failas buvo pakeistas, kad būtų paleistas DLL failas iš konkretaus kelio, naudojant regsvr32.exe procesą, o ne inicijuojant atsisiuntimo programą. Šis DLL failas, žinomas kaip Xctdoor, turi galimybę užfiksuoti sistemos informaciją, pvz., klavišų paspaudimus, ekrano kopijas ir iškarpinės turinį, bei vykdyti užpuoliko pateiktas komandas.

Xctdoor bendrauja su komandų ir valdymo (C2) serveriu per HTTP, o paketų šifravimas naudojant Mersenne Twister (MT19937) ir Base64 algoritmus. Ataka taip pat apima kitą kenkėjiškos programos variantą, pavadintą XcLoader, skirtą įterpti Xctdoor į teisėtus procesus, tokius kaip „explorer.exe“. Naujausi išvados rodo atvejus, kai netinkamai apsaugoti žiniatinklio serveriai buvo pažeisti norint įdiegti XcLoader bent jau nuo 2024 m. kovo mėn.

Tuo pačiu procesu piktnaudžiauja kitos kenkėjiškos programos

Regsvr32.exe procesas buvo naudojamas kitose kampanijose, susijusiose su Šiaurės Korėja, ypač Kimsuky APT grupės. Jie naudojo neatskleistas užpakalines duris, pavadintas HappyDoor, veikiančias mažiausiai nuo 2021 m. liepos mėn.

Šios atakų sekos paprastai prasideda nuo sukčiavimo el. laiškų, platinančių suglaudintą failą. Šiame archyve randamas užmaskuotas „JavaScript“ arba lašintuvas, kurį paleidus kartu su apgaulės failu paleidžiama „HappyDoor“. HappyDoor, įdiegtas kaip DLL failas per regsvr32.exe, užmezga ryšį su nuotoliniu serveriu per HTTP. Jo funkcijos apima duomenų vagystę, failų atsisiuntimo / įkėlimo galimybes ir galimybę savarankiškai atnaujinti bei nutraukti procesus.

Užpakalinių durų infekcijos gali turėti rimtų pasekmių aukoms

Užpakalinių kenkėjiškų programų infekcijų aukos gali susidurti su rimtomis pasekmėmis dėl slapto ir nuolatinio šių grėsmių pobūdžio. Štai keletas galimų padarinių:

  • Duomenų vagystė : Užpakalinės durys dažnai leidžia užpuolikams surinkti privačią informaciją, pvz., prisijungimo duomenis, finansinius duomenis, intelektinę nuosavybę ir asmeninius failus. Šie surinkti duomenys gali būti naudojami siekiant finansinės naudos arba naudojami tolimesnėms atakoms.
  • Stebėjimas ir stebėjimas : užpakalinės durys gali leisti užpuolikams stebėti ir stebėti aukos veiklą, įskaitant klavišų paspaudimus, ekrano kopijas, internetinės kameros tiekimą ir mikrofono įvestį. Šis privatumo pažeidimas gali sukelti asmeninį ar įmonės šnipinėjimą.
  • Neteisėta prieiga : užpuolikai gali gauti ilgalaikę neteisėtą prieigą prie pažeistų sistemų. Šia prieiga gali būti naudojama manipuliuoti ar sabotuoti sistemas, trikdyti operacijas ar net įdiegti papildomas kenkėjiškas programas.
  • Sistemos kompromisas : Užpakalinės durys dažnai susilpnina bendrą sistemos saugumą, todėl ji tampa pažeidžiama tolesniam išnaudojimui. Tai gali sukelti kitų prijungtų sistemų ar tinklo išteklių pažeidimą.
  • Finansiniai nuostoliai : įmonės gali patirti finansinių nuostolių dėl lėšų vagystės, verslo galimybių praradimo, teisinių įsipareigojimų ir išlaidų, susijusių su ištaisymo ir atkūrimo pastangomis.
  • Žala reputacijai : organizacijose užpakalinių durų infekcija gali pakenkti reputacijai, prarasti klientų pasitikėjimą ir sumažėti prekės ženklo vertė. Tai gali turėti ilgalaikių pasekmių verslo santykiams ir veiklai.
  • Veikimo sutrikimas : Užpakalinės durys gali sutrikdyti įprastas operacijas, sukeldamos sistemos gedimus, sulėtėjimus arba paslaugų atsisakymo sąlygas. Tai gali sukelti prastovų, produktyvumo praradimą ir finansinį poveikį dėl paslaugų sutrikimų.
  • Reguliavimo ir atitikties problemos : organizacijoms gali būti skirtos baudos ir teisinės pasekmės, jei pažeistos sistemos tvarko neskelbtinus duomenis, kuriems taikomi privatumo įstatymai arba pramonės teisės aktai.
  • Aptikimo ir pašalinimo sunkumai : Užpakalinės durys yra skirtos išvengti aptikimo naudojant saugos priemones, pvz., apsaugos nuo kenkėjiškų programų programinę įrangą ir užkardas. Aptikti ir visiškai juos pašalinti gali būti sudėtinga, todėl reikia specialių žinių ir įrankių.
  • Ilgalaikis pažeidžiamumas : net ir po pirminio ištaisymo, pažeistos sistemos gali likti pažeidžiamos būsimoms atakoms arba nuolatiniams ryžtingų užpuolikų bandymams iš naujo suaktyvinti užpakalines duris.

Apskritai, užpakalinių kenkėjiškų programų užkrėtimo pasekmės gali būti rimtos ir įvairiapusės, o tai gali turėti įtakos tiek asmenims, tiek organizacijoms dėl finansinės, veiklos ir reputacijos žalos, taip pat pakenkti jų privatumui ir saugumui.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
38,825
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...