Xctdoor Bakdør

En sørkoreansk ERP (Enterprise Resource Planning)-leverandørs oppdateringsserver ble oppdaget kompromittert, og distribuerte en Go-basert bakdør kalt Xctdoor. Forskere avdekket dette angrepet i mai 2024, og selv om de ikke pekte på en spesifikk trusselaktør eller gruppe, bemerket de likheter med taktikk brukt av Andariel , en undergruppe knyttet til den beryktede Lazarus-gruppen .

Disse taktikkene gjenspeiler tidligere hendelser som involverte den nordkoreanske motstanderen, som tidligere utnyttet ERP-løsningen til å spre skadelig programvare som HotCroissant (også kjent som Rifdoor ) i 2017. Dette ble oppnådd ved å implantere ondsinnet kode i en programvareoppdateringsmekanisme.

Xctdoor-bakdøren gir angripere en rekke skadelige egenskaper

Under angrepsanalysen ble det bestemt at den kjørbare filen ble endret til å kjøre en DLL-fil fra en bestemt bane ved å bruke regsvr32.exe-prosessen i stedet for å starte en nedlaster. Denne DLL-filen, kjent som Xctdoor, har muligheter for å fange opp systeminformasjon som tastetrykk, skjermbilder og utklippstavleinnhold, og utføre kommandoer utstedt av angriperen.

Xctdoor kommuniserer med en Command-and-Control (C2) server over HTTP, med pakkekryptering ved å bruke Mersenne Twister (MT19937) og Base64 algoritmer. Angrepet involverer også en annen malware-variant kalt XcLoader, designet for å injisere Xctdoor i legitime prosesser som "explorer.exe". Nylige funn indikerer tilfeller der utilstrekkelig sikre webservere har blitt kompromittert for å installere XcLoader siden minst mars 2024.

Den samme prosessen misbrukt av andre trusler mot skadelig programvare

Regsvr32.exe-prosessen har blitt utnyttet i andre kampanjer knyttet til Nord-Korea, spesielt av Kimsuky APT-gruppen. De har brukt en ikke avslørt bakdør kalt HappyDoor, i drift siden minst juli 2021.

Disse angrepssekvensene starter vanligvis med spear-phishing-e-poster som distribuerer en komprimert fil. Innenfor dette arkivet finnes en skjult JavaScript eller dropper, som ved kjøring starter HappyDoor sammen med en lokkefil. HappyDoor, implementert som en DLL-fil gjennom regsvr32.exe, etablerer kommunikasjon med en ekstern server via HTTP. Funksjonene inkluderer datatyveri, nedlastings-/opplastingsmuligheter for filer og muligheten til å selvoppdatere og avslutte prosesser.

Bakdørsinfeksjoner kan ha alvorlige konsekvenser for ofre

Ofre for bakdørsinfeksjoner med skadelig programvare kan møte alvorlige konsekvenser på grunn av disse truslenes snikende og vedvarende natur. Her er noen potensielle konsekvenser:

• Datatyveri : Bakdører lar ofte angripere høste privat informasjon som påloggingsinformasjon, økonomiske data, åndsverk og personlige filer. Disse innsamlede dataene kan utnyttes for økonomisk gevinst eller brukes i ytterligere angrep.
• Overvåking og overvåking : Bakdører kan gjøre det mulig for angripere å overvåke og overvåke offerets aktiviteter, inkludert tastetrykk, skjermbilder, webkamera-feeds og mikrofoninngang. Denne invasjonen av personvernet kan føre til personlig spionasje eller bedriftsspionasje.
• Uautorisert tilgang : Angripere kan få langvarig uautorisert tilgang til kompromitterte systemer. Denne tilgangen kan brukes til å manipulere eller sabotere systemer, forstyrre operasjoner eller til og med distribuere ytterligere skadelig programvare.
• Systemkompromiss : Bakdører svekker ofte den generelle sikkerhetsstillingen til systemet, noe som gjør det sårbart for ytterligere utnyttelse. Dette kan føre til kompromittering av andre tilkoblede systemer eller ressurser i nettverket.
• Økonomisk tap : Bedrifter kan lide økonomiske tap på grunn av tyveri av midler, tap av forretningsmuligheter, juridiske forpliktelser og kostnader forbundet med utbedring og gjenoppretting.
• Omdømmeskade : For organisasjoner kan en bakdørsinfeksjon føre til skade på omdømmet, tap av kundetillit og redusert merkeverdi. Dette kan få langsiktige konsekvenser for forretningsforbindelser og drift.
• Driftsforstyrrelser : Bakdører kan forstyrre normal drift ved å forårsake systemkrasj, nedgang eller tjenestenekt. Dette kan resultere i nedetid, tap av produktivitet og økonomiske konsekvenser på grunn av forstyrrede tjenester.
• Regulerings- og overholdelsesproblemer : Organisasjoner kan møte regulatoriske bøter og juridiske konsekvenser hvis de kompromitterte systemene håndterer sensitive data underlagt personvernlover eller bransjeforskrifter.
• Vanskeligheter med å oppdage og fjerne : Bakdører er designet for å unngå oppdagelse med sikkerhetstiltak som anti-malware-programvare og brannmurer. Å oppdage og fjerne dem fullstendig kan være utfordrende, og krever spesialkunnskap og verktøy.
• Langsiktig sårbarhet : Selv etter første utbedring, kan kompromitterte systemer forbli sårbare for fremtidige angrep eller vedvarende reaktiveringsforsøk på bakdører fra bestemte angripere.

Samlet sett kan konsekvensene av bakdørsinfeksjoner med skadelig programvare være alvorlige og mangefasetterte, og påvirke både enkeltpersoner og organisasjoner i form av økonomisk, operasjonell og omdømmeskade, samt kompromittere deres personvern og sikkerhet.