Multi-License Discount Quote
Pangkalan Data Ancaman Backdoors Pintu Belakang Xctdoor

Pintu Belakang Xctdoor

Menjelang Mezo pada Backdoors, Advanced Persistent Threat (APT)
Terjemahkan ke
بهاس ملايو

Pelayan kemas kini vendor ERP (Enterprise Resource Planning) Korea Selatan didapati terjejas, mengedarkan pintu belakang berasaskan Go bernama Xctdoor. Penyelidik menemui serangan ini pada Mei 2024, dan walaupun mereka tidak menentukan pelakon atau kumpulan ancaman tertentu, mereka mendapati persamaan dengan taktik yang digunakan oleh Andariel , subkumpulan yang dikaitkan dengan Kumpulan Lazarus yang terkenal.

Taktik ini menggemakan insiden lalu yang melibatkan musuh Korea Utara, yang sebelum ini mengeksploitasi penyelesaian ERP untuk menyebarkan perisian hasad seperti HotCroissant (juga dikenali sebagai Rifdoor ) pada tahun 2017. Ini dicapai dengan menanam kod hasad ke dalam mekanisme kemas kini perisian.

Pintu Belakang Xctdoor Menyediakan Pelbagai Keupayaan Memudaratkan Penyerang

Semasa analisis serangan, telah ditentukan bahawa boleh laku telah diubah untuk menjalankan fail DLL daripada laluan tertentu menggunakan proses regsvr32.exe dan bukannya memulakan pemuat turun. Fail DLL ini, dikenali sebagai Xctdoor, mempunyai keupayaan untuk menangkap maklumat sistem seperti ketukan kekunci, tangkapan skrin dan kandungan papan keratan, dan melaksanakan arahan yang dikeluarkan oleh penyerang.

Xctdoor berkomunikasi dengan pelayan Command-and-Control (C2) melalui HTTP, dengan penyulitan paket menggunakan algoritma Mersenne Twister (MT19937) dan Base64. Serangan itu juga melibatkan satu lagi varian perisian hasad bernama XcLoader, direka untuk menyuntik Xctdoor ke dalam proses yang sah seperti 'explorer.exe.' Penemuan terbaru menunjukkan keadaan di mana pelayan Web yang tidak selamat telah terjejas untuk memasang XcLoader sejak sekurang-kurangnya Mac 2024.

Proses Yang Sama Disalahgunakan oleh Ancaman Malware Lain

Proses regsvr32.exe telah dieksploitasi dalam kempen lain yang dikaitkan dengan Korea Utara, terutamanya oleh kumpulan APT Kimsuky. Mereka telah menggunakan pintu belakang yang tidak didedahkan bernama HappyDoor, beroperasi sejak sekurang-kurangnya Julai 2021.

Urutan serangan ini biasanya bermula dengan e-mel spear-phishing yang mengedarkan fail yang dimampatkan. Dalam arkib ini, JavaScript atau penitis yang dikelirukan ditemui, yang, selepas pelaksanaan, melancarkan HappyDoor bersama fail tipuan. HappyDoor, dilaksanakan sebagai fail DLL melalui regsvr32.exe, mewujudkan komunikasi dengan pelayan jauh melalui HTTP. Fungsinya termasuk kecurian data, keupayaan muat turun/muat naik fail, dan keupayaan untuk mengemas kini sendiri dan menamatkan proses.

Jangkitan Pintu Belakang Boleh Mempunyai Akibat Yang Teruk untuk Mangsa

Mangsa jangkitan perisian hasad pintu belakang boleh menghadapi akibat yang teruk disebabkan sifat ancaman ini yang tersembunyi dan berterusan. Berikut ialah beberapa kesan yang berpotensi:

  • Kecurian Data : Pintu belakang selalunya membenarkan penyerang untuk memungut maklumat peribadi seperti bukti kelayakan log masuk, data kewangan, harta intelek dan fail peribadi. Data yang dikumpul ini boleh dieksploitasi untuk keuntungan kewangan atau digunakan dalam serangan selanjutnya.
  • Pengawasan dan Pemantauan : Pintu belakang boleh membolehkan penyerang memantau dan mengawasi aktiviti mangsa, termasuk ketukan kekunci, tangkapan skrin, suapan kamera web dan input mikrofon. Pencerobohan privasi ini boleh membawa kepada pengintipan peribadi atau korporat.
  • Akses Tanpa Kebenaran : Penyerang boleh memperoleh akses tanpa kebenaran yang berpanjangan kepada sistem yang terjejas. Akses ini boleh digunakan untuk memanipulasi atau mensabotaj sistem, mengganggu operasi atau bahkan menggunakan perisian hasad tambahan.
  • Kompromi Sistem : Pintu belakang sering melemahkan postur keselamatan keseluruhan sistem, menjadikannya terdedah kepada eksploitasi selanjutnya. Ini boleh membawa kepada kompromi sistem atau sumber lain yang disambungkan dalam rangkaian.
  • Kerugian Kewangan : Perniagaan mungkin mengalami kerugian kewangan akibat kecurian dana, kehilangan peluang perniagaan, liabiliti undang-undang dan kos yang berkaitan dengan usaha pemulihan dan pemulihan.
  • Kerosakan Reputasi : Bagi organisasi, jangkitan pintu belakang boleh menyebabkan kerosakan reputasi, kehilangan kepercayaan pelanggan dan nilai jenama yang berkurangan. Ini boleh membawa kesan jangka panjang ke atas perhubungan dan operasi perniagaan.
  • Gangguan Operasi : Pintu belakang boleh mengganggu operasi biasa dengan menyebabkan ranap sistem, kelembapan atau penafian keadaan perkhidmatan. Ini boleh mengakibatkan masa henti, kehilangan produktiviti dan kesan kewangan akibat perkhidmatan yang terganggu.
  • Isu Kawal Selia dan Pematuhan : Organisasi mungkin menghadapi denda kawal selia dan akibat undang-undang jika sistem yang terjejas mengendalikan data sensitif tertakluk kepada undang-undang privasi atau peraturan industri.
  • Kesukaran dalam Pengesanan dan Pembuangan : Pintu belakang direka untuk mengelakkan pengesanan melalui langkah keselamatan seperti perisian anti perisian hasad dan tembok api. Mengesan dan mengalih keluarnya sepenuhnya boleh menjadi mencabar, memerlukan pengetahuan dan alat khusus.
  • Kerentanan Jangka Panjang : Walaupun selepas pembaikan awal, sistem yang terjejas mungkin kekal terdedah kepada serangan masa depan atau percubaan pengaktifan semula pintu belakang yang berterusan oleh penyerang yang ditentukan.

Secara keseluruhannya, akibat jangkitan malware pintu belakang boleh menjadi teruk dan pelbagai rupa, memberi kesan kepada individu dan organisasi dari segi kewangan, operasi dan kerosakan reputasi, serta menjejaskan privasi dan keselamatan mereka.

Trending

Paling banyak dilihat

Memuatkan...