Multi-License Discount Quote
Draudu datu bāze Backdoors Xctdoor Backdoor

Xctdoor Backdoor

Līdz Mezo. gadam Backdoors, Advanced Persistent Threat (APT). gadā
Tulkot uz:
Latviešu

Tika atklāts, ka Dienvidkorejas ERP (Enterprise Resource Planning) pārdevēja atjaunināšanas serveris ir apdraudēts, izplatot uz Go balstītas aizmugures durvis ar nosaukumu Xctdoor. Pētnieki atklāja šo uzbrukumu 2024. gada maijā, un, lai gan viņi nenorādīja konkrētu apdraudējuma dalībnieku vai grupu, viņi atzīmēja līdzības ar taktiku, ko izmantoja Andariel — apakšgrupa, kas saistīta ar bēdīgi slaveno Lazarus grupu .

Šī taktika atspoguļo pagātnes incidentus, kuros bija iesaistīts Ziemeļkorejas pretinieks, kurš iepriekš izmantoja ERP risinājumu, lai izplatītu ļaunprātīgu programmatūru, piemēram, HotCroissant (pazīstams arī kā Rifdoor ) 2017. gadā. Tas tika panākts, implantējot ļaunprātīgu kodu programmatūras atjaunināšanas mehānismā.

Xctdoor Backdoor nodrošina uzbrucējiem daudzas kaitīgas iespējas

Uzbrukuma analīzes laikā tika noteikts, ka izpildāmais fails tika mainīts, lai palaistu DLL failu no noteikta ceļa, izmantojot regsvr32.exe procesu, nevis iniciējot lejupielādētāju. Šim DLL failam, kas pazīstams kā Xctdoor, ir iespējas tvert sistēmas informāciju, piemēram, taustiņsitienus, ekrānuzņēmumus un starpliktuves saturu, kā arī izpildīt uzbrucēja izdotās komandas.

Xctdoor sazinās ar Command-and-Control (C2) serveri, izmantojot HTTP, ar pakešu šifrēšanu, izmantojot Mersenne Twister (MT19937) un Base64 algoritmus. Uzbrukumā ir iesaistīts arī cits ļaunprātīgas programmatūras variants ar nosaukumu XcLoader, kas paredzēts, lai ievadītu Xctdoor tādos likumīgos procesos kā “explorer.exe”. Jaunākie atklājumi liecina par gadījumiem, kad XcLoader instalēšanai ir apdraudēti nepietiekami nodrošināti tīmekļa serveri vismaz kopš 2024. gada marta.

To pašu procesu ļaunprātīgi izmanto citi ļaunprātīgas programmatūras draudi

Regsvr32.exe process ir izmantots citās ar Ziemeļkoreju saistītās kampaņās, jo īpaši Kimsuky APT grupā. Viņi ir izmantojuši neizpaužamu aizmugures durvis ar nosaukumu HappyDoor, kas darbojas vismaz kopš 2021. gada jūlija.

Šīs uzbrukumu secības parasti sākas ar pikšķerēšanas e-pastiem, kas izplata saspiestu failu. Šajā arhīvā tiek atrasts apslēpts JavaScript vai pilinātājs, kas pēc izpildes palaiž HappyDoor kopā ar mānekļu failu. HappyDoor, kas ieviests kā DLL fails, izmantojot regsvr32.exe, izveido saziņu ar attālo serveri, izmantojot HTTP. Tās funkcijas ietver datu zādzību, failu lejupielādes/augšupielādes iespējas un iespēju pašatjaunināt un pārtraukt procesus.

Aizmugurējo durvju infekcijas upuriem var radīt nopietnas sekas

Aizmugurējās ļaunprātīgas programmatūras infekciju upuri var saskarties ar smagām sekām, jo šie draudi ir slēpti un pastāvīgi. Šeit ir dažas iespējamās ietekmes:

  • Datu zādzība : aizmugures durvis bieži ļauj uzbrucējiem iegūt privātu informāciju, piemēram, pieteikšanās akreditācijas datus, finanšu datus, intelektuālo īpašumu un personiskos failus. Šos savāktos datus var izmantot finansiāla labuma gūšanai vai izmantot turpmākos uzbrukumos.
  • Uzraudzība un uzraudzība : aizmugures durvis var ļaut uzbrucējiem pārraudzīt un pārraudzīt upura darbības, tostarp taustiņsitienus, ekrānuzņēmumus, tīmekļa kameras plūsmas un mikrofona ievadi. Šis privātuma pārkāpums var izraisīt personisku vai korporatīvu spiegošanu.
  • Neatļauta piekļuve : uzbrucēji var iegūt ilgstošu nesankcionētu piekļuvi apdraudētām sistēmām. Šo piekļuvi var izmantot, lai manipulētu vai sabotētu sistēmas, traucētu darbības vai pat izvietotu papildu ļaunprātīgu programmatūru.
  • Sistēmas kompromiss : aizmugurējās durvis bieži vājina sistēmas vispārējo drošības stāvokli, padarot to neaizsargātu pret turpmāku izmantošanu. Tas var izraisīt citu pievienoto sistēmu vai resursu apdraudējumu tīklā.
  • Finansiālie zaudējumi : uzņēmumi var ciest finansiālus zaudējumus līdzekļu zādzības, uzņēmējdarbības iespēju zaudēšanas, juridisko saistību un izmaksu, kas saistītas ar sanācijas un atgūšanas pasākumiem, dēļ.
  • Reputācijas kaitējums : organizācijām aizmugures durvju infekcija var radīt kaitējumu reputācijai, klientu uzticības zaudēšanu un zīmola vērtības samazināšanos. Tam var būt ilgtermiņa ietekme uz biznesa attiecībām un darbību.
  • Darbības traucējumi : aizmugures durvis var traucēt normālu darbību, izraisot sistēmas avārijas, palēnināšanos vai pakalpojumu liegšanas apstākļus. Tas var izraisīt dīkstāves, produktivitātes zudumu un finansiālas sekas pakalpojumu traucējumu dēļ.
  • Normatīvās un atbilstības problēmas : organizācijām var tikt piemēroti normatīvie naudas sodi un juridiskas sekas, ja apdraudētās sistēmas apstrādā sensitīvus datus, uz kuriem attiecas privātuma likumi vai nozares noteikumi.
  • Grūtības ar noteikšanu un noņemšanu : Aizmugures durvis ir paredzētas, lai izvairītos no atklāšanas, izmantojot drošības pasākumus, piemēram, ļaunprātīgas programmatūras novēršanas programmatūru un ugunsmūrus. To pilnīga noteikšana un noņemšana var būt sarežģīta, un tam ir nepieciešamas īpašas zināšanas un rīki.
  • Ilgtermiņa ievainojamība : pat pēc sākotnējās novēršanas apdraudētās sistēmas var palikt neaizsargātas pret turpmākiem uzbrukumiem vai pastāvīgiem mērķtiecīgu uzbrucēju mēģinājumiem atkārtoti aktivizēt aizmugures durvis.

Kopumā aizmugures ļaunprātīgas programmatūras inficēšanās sekas var būt smagas un daudzpusīgas, ietekmējot gan personas, gan organizācijas finansiālā, darbības un reputācijas kaitējuma ziņā, kā arī apdraudot viņu privātumu un drošību.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
38,825
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...