Xctdoor ब्याकडोर

एक दक्षिण कोरियाली ERP (इन्टरप्राइज रिसोर्स प्लानिङ) विक्रेताको अपडेट सर्भरले Xctdoor नामको Go-आधारित ब्याकडोर वितरण गर्दै सम्झौता गरेको पत्ता लाग्यो। अन्वेषकहरूले मे 2024 मा यस आक्रमणको पर्दाफास गरे, र तिनीहरूले कुनै खास खतरा अभिनेता वा समूहलाई चिनाउन नसके पनि, तिनीहरूले कुख्यात लाजरस समूहसँग जोडिएको उपसमूह एन्डारियलले प्रयोग गर्ने रणनीतिहरूसँग समानताहरू नोट गरे।

यी कार्यनीतिहरूले उत्तर कोरियाली शत्रुलाई समावेश गर्ने विगतका घटनाहरू प्रतिध्वनित गर्दछ, जसले पहिले 2017 मा HotCroissant ( Rifdoor पनि भनिन्छ) जस्ता मालवेयर फैलाउनको लागि ERP समाधानको दुरुपयोग गरेको थियो। यो सफ्टवेयर अपडेट संयन्त्रमा दुर्भावनापूर्ण कोड प्रत्यारोपण गरेर हासिल गरिएको थियो।

Xctdoor ब्याकडोरले आक्रमणकारीहरूलाई धेरै हानिकारक क्षमताहरू प्रदान गर्दछ

आक्रमण विश्लेषणको बखत, यो निर्धारण गरिएको थियो कि कार्यान्वयन योग्यलाई डाउनलोडर प्रारम्भ गर्नुको सट्टा regsvr32.exe प्रक्रिया प्रयोग गरेर निर्दिष्ट मार्गबाट DLL फाइल चलाउन परिवर्तन गरिएको थियो। Xctdoor भनेर चिनिने यो DLL फाइलमा किस्ट्रोकहरू, स्क्रिनसटहरू र क्लिपबोर्ड सामग्रीहरू, र आक्रमणकारीद्वारा जारी गरिएका आदेशहरू कार्यान्वयन गर्ने जस्ता प्रणाली जानकारीहरू क्याप्चर गर्ने क्षमताहरू छन्।

Xctdoor ले Mersenne Twister (MT19937) र Base64 एल्गोरिदमहरू प्रयोग गरी प्याकेट इन्क्रिप्शनको साथ HTTP मार्फत Command-and-Control (C2) सर्भरसँग सञ्चार गर्छ। आक्रमणमा XcLoader नामक अर्को मालवेयर संस्करण पनि समावेश छ, Xctdoor लाई 'explorer.exe' जस्ता वैध प्रक्रियाहरूमा इन्जेक्सन गर्न डिजाइन गरिएको। भर्खरका खोजहरूले कम्तिमा मार्च 2024 देखि XcLoader स्थापना गर्न अपर्याप्त रूपमा सुरक्षित वेब सर्भरहरू सम्झौता गरिएको उदाहरणहरू संकेत गर्दछ।

अन्य मालवेयर धम्कीहरूद्वारा दुरुपयोग गरिएको समान प्रक्रिया

regsvr32.exe प्रक्रिया उत्तर कोरियासँग जोडिएका अन्य अभियानहरूमा विशेष गरी Kimsuky APT समूहद्वारा प्रयोग गरिएको छ। उनीहरूले कम्तीमा जुलाई २०२१ देखि सञ्चालनमा रहेको ह्याप्पीडोर नामको अज्ञात ब्याकडोर प्रयोग गरेका छन्।

यी आक्रमण अनुक्रमहरू सामान्यतया भाला-फिशिङ इमेलहरू एक संकुचित फाइल वितरणको साथ सुरु हुन्छ। यस अभिलेख भित्र, एउटा अस्पष्ट JavaScript वा ड्रपर फेला पर्‍यो, जुन कार्यान्वयनमा, डिकोय फाइलसँगै HappyDoor सुरु हुन्छ। HappyDoor, regsvr32.exe मार्फत DLL फाइलको रूपमा कार्यान्वयन गरिएको, HTTP मार्फत रिमोट सर्भरसँग सञ्चार स्थापना गर्दछ। यसको कार्यक्षमताहरूमा डेटा चोरी, फाइल डाउनलोड/अपलोड क्षमताहरू, र सेल्फ-अपडेट गर्ने र प्रक्रियाहरू समाप्त गर्ने क्षमता समावेश छ।

ब्याकडोर संक्रमणहरूले पीडितहरूको लागि गम्भीर परिणामहरू हुन सक्छ

ब्याकडोर मालवेयर संक्रमणका पीडितहरूले यी खतराहरूको गुप्त र निरन्तर प्रकृतिको कारणले गम्भीर परिणामहरूको सामना गर्न सक्छ। यहाँ केहि सम्भावित प्रभावहरू छन्:

• डाटा चोरी : ब्याकडोरहरूले प्राय: आक्रमणकारीहरूलाई लगइन प्रमाणहरू, वित्तीय डेटा, बौद्धिक सम्पत्ति र व्यक्तिगत फाइलहरू जस्ता निजी जानकारीहरू काट्न अनुमति दिन्छ। यो सङ्कलन डाटा आर्थिक लाभको लागि शोषण वा थप आक्रमणहरूमा प्रयोग गर्न सकिन्छ।
• निगरानी र निगरानी : पछाडिको ढोकाले आक्रमणकारीहरूलाई किस्ट्रोकहरू, स्क्रिनसटहरू, वेबक्याम फिडहरू र माइक्रोफोन इनपुट सहित पीडितको गतिविधिहरूको निगरानी र सर्वेक्षण गर्न सक्षम बनाउन सक्छ। गोपनीयताको यो आक्रमणले व्यक्तिगत वा कर्पोरेट जासुसी निम्त्याउन सक्छ।
• अनाधिकृत पहुँच : आक्रमणकारीहरूले सम्झौता प्रणालीहरूमा लामो समयसम्म अनधिकृत पहुँच प्राप्त गर्न सक्छन्। यो पहुँच प्रणालीलाई हेरफेर गर्न वा तोडफोड गर्न, सञ्चालनमा बाधा पुर्‍याउन वा अतिरिक्त मालवेयर पनि प्रयोग गर्न प्रयोग गर्न सकिन्छ।
• प्रणाली सम्झौता : ब्याकडोरहरूले प्राय: प्रणालीको समग्र सुरक्षा मुद्रालाई कमजोर बनाउँछ, यसलाई थप शोषणको लागि कमजोर बनाउँछ। यसले नेटवर्क भित्र अन्य जडित प्रणाली वा स्रोतहरूको सम्झौता गर्न सक्छ।
• आर्थिक हानि : व्यवसायहरूले कोषको चोरी, व्यापारिक अवसरहरू, कानूनी दायित्वहरू र उपचार र रिकभरी प्रयासहरूसँग सम्बन्धित लागतहरूको कारणले आर्थिक नोक्सान भोग्न सक्छ।
• प्रतिष्ठाको क्षति : संगठनहरूको लागि, ब्याकडोर संक्रमणले प्रतिष्ठामा क्षति, ग्राहकको विश्वास गुमाउन र ब्रान्ड मूल्य घटाउन सक्छ। यसले व्यापार सम्बन्ध र सञ्चालनहरूमा दीर्घकालीन परिणामहरू हुन सक्छ।
• अपरेशनल अवरोध : ब्याकडोरहरूले प्रणाली क्र्यास, ढिलो वा सेवा सर्तहरू अस्वीकार गरेर सामान्य कार्यहरू अवरुद्ध गर्न सक्छ। यसले अवरुद्ध सेवाहरूको कारणले गर्दा डाउनटाइम, उत्पादकतामा हानि र वित्तीय प्रभाव पार्न सक्छ।
• नियामक र अनुपालन मुद्दाहरू : यदि सम्झौता प्रणालीहरूले गोपनीयता कानून वा उद्योग नियमहरूको अधीनमा संवेदनशील डेटा ह्यान्डल गरेमा संगठनहरूले नियामक जरिवाना र कानुनी परिणामहरू सामना गर्न सक्छन्।
• पत्ता लगाउन र हटाउनमा कठिनाई : ब्याकडोरहरू एन्टी-मालवेयर सफ्टवेयर र फायरवालहरू जस्ता सुरक्षा उपायहरूद्वारा पत्ता लगाउनबाट बच्नको लागि डिजाइन गरिएको हो। पत्ता लगाउन र तिनीहरूलाई पूर्ण रूपमा हटाउन चुनौतीपूर्ण हुन सक्छ, विशेष ज्ञान र उपकरणहरू आवश्यक छ।
• दीर्घकालीन जोखिम : प्रारम्भिक उपचार पछि पनि, सम्झौता गरिएका प्रणालीहरू भविष्यका आक्रमणहरू वा निर्धारित आक्रमणकारीहरूद्वारा लगातार ब्याकडोर पुन: सक्रियता प्रयासहरूको लागि कमजोर रहन सक्छन्।

समग्रमा, ब्याकडोर मालवेयर संक्रमणका नतिजाहरू गम्भीर र बहुआयामिक हुन सक्छन्, जसले दुवै व्यक्ति र संस्थाहरूलाई वित्तीय, परिचालन र प्रतिष्ठाको क्षतिको सर्तमा प्रभाव पार्छ, साथै तिनीहरूको गोपनीयता र सुरक्षामा सम्झौता गर्दछ।