Xctdoor ਬੈਕਡੋਰ

ਇੱਕ ਦੱਖਣੀ ਕੋਰੀਆਈ ERP (ਐਂਟਰਪ੍ਰਾਈਜ਼ ਰਿਸੋਰਸ ਪਲੈਨਿੰਗ) ਵਿਕਰੇਤਾ ਦੇ ਅੱਪਡੇਟ ਸਰਵਰ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ, Xctdoor ਨਾਮ ਦੇ ਇੱਕ ਗੋ-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਨੂੰ ਵੰਡਦੇ ਹੋਏ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਮਈ 2024 ਵਿੱਚ ਇਸ ਹਮਲੇ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ, ਅਤੇ ਜਦੋਂ ਕਿ ਉਹਨਾਂ ਨੇ ਕਿਸੇ ਖਾਸ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਜਾਂ ਸਮੂਹ ਦਾ ਪਤਾ ਨਹੀਂ ਲਗਾਇਆ, ਉਹਨਾਂ ਨੇ ਬਦਨਾਮ ਲਾਜ਼ਰਸ ਸਮੂਹ ਨਾਲ ਜੁੜੇ ਇੱਕ ਉਪ ਸਮੂਹ, ਐਂਡਰੀਏਲ ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਨੋਟ ਕੀਤੀਆਂ।

ਇਹ ਚਾਲਾਂ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਵਿਰੋਧੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀਆਂ ਪਿਛਲੀਆਂ ਘਟਨਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਜਿਸ ਨੇ ਪਹਿਲਾਂ 2017 ਵਿੱਚ HotCroissant (ਜਿਸ ਨੂੰ Rifdoor ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਵਰਗੇ ਮਾਲਵੇਅਰ ਨੂੰ ਫੈਲਾਉਣ ਲਈ ERP ਹੱਲ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਸੀ। ਇਹ ਇੱਕ ਸਾਫਟਵੇਅਰ ਅੱਪਡੇਟ ਵਿਧੀ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਇਮਪਲਾਂਟ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਗਿਆ ਸੀ।

Xctdoor ਬੈਕਡੋਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਬਹੁਤ ਸਾਰੀਆਂ ਨੁਕਸਾਨਦੇਹ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ

ਹਮਲੇ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਦੌਰਾਨ, ਇਹ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਸੀ ਕਿ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਇੱਕ ਡਾਉਨਲੋਡਰ ਸ਼ੁਰੂ ਕਰਨ ਦੀ ਬਜਾਏ regsvr32.exe ਪ੍ਰਕਿਰਿਆ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਖਾਸ ਮਾਰਗ ਤੋਂ ਇੱਕ DLL ਫਾਈਲ ਨੂੰ ਚਲਾਉਣ ਲਈ ਬਦਲਿਆ ਗਿਆ ਸੀ। ਇਹ DLL ਫਾਈਲ, Xctdoor ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਹੈ, ਵਿੱਚ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਜਿਵੇਂ ਕਿ ਕੀਸਟ੍ਰੋਕ, ਸਕ੍ਰੀਨਸ਼ੌਟਸ ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀਆਂ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਅਤੇ ਹਮਲਾਵਰ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਹਨ।

Xctdoor Mersenne Twister (MT19937) ਅਤੇ Base64 ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪੈਕੇਟ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਨਾਲ HTTP ਉੱਤੇ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ। ਹਮਲੇ ਵਿੱਚ XcLoader ਨਾਮ ਦਾ ਇੱਕ ਹੋਰ ਮਾਲਵੇਅਰ ਰੂਪ ਵੀ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਕਿ 'explorer.exe' ਵਰਗੀਆਂ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ Xctdoor ਨੂੰ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਹਾਲੀਆ ਖੋਜਾਂ ਅਜਿਹੀਆਂ ਸਥਿਤੀਆਂ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਜਿੱਥੇ ਘੱਟੋ-ਘੱਟ ਮਾਰਚ 2024 ਤੋਂ XcLoader ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਅਢੁਕਵੇਂ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਅਤ ਵੈੱਬ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ।

ਹੋਰ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਦੁਆਰਾ ਦੁਰਵਿਵਹਾਰ ਕਰਨ ਵਾਲੀ ਇੱਕੋ ਪ੍ਰਕਿਰਿਆ

regsvr32.exe ਪ੍ਰਕਿਰਿਆ ਦਾ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੀਆਂ ਹੋਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ Kimsuky APT ਸਮੂਹ ਦੁਆਰਾ। ਉਨ੍ਹਾਂ ਨੇ ਹੈਪੀਡੋਰ ਨਾਮ ਦੇ ਇੱਕ ਅਣਦੱਸੇ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ, ਜੋ ਘੱਟੋ-ਘੱਟ ਜੁਲਾਈ 2021 ਤੋਂ ਕਾਰਜਸ਼ੀਲ ਹੈ।

ਇਹ ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਆਮ ਤੌਰ 'ਤੇ ਇੱਕ ਸੰਕੁਚਿਤ ਫਾਈਲ ਨੂੰ ਵੰਡਣ ਵਾਲੀਆਂ ਬਰਛੀਆਂ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ। ਇਸ ਆਰਕਾਈਵ ਦੇ ਅੰਦਰ, ਇੱਕ ਗੁੰਝਲਦਾਰ JavaScript ਜਾਂ ਡਰਾਪਰ ਪਾਇਆ ਜਾਂਦਾ ਹੈ, ਜੋ, ਚੱਲਣ 'ਤੇ, ਇੱਕ ਡੀਕੋਏ ਫਾਈਲ ਦੇ ਨਾਲ ਹੈਪੀਡੋਰ ਨੂੰ ਲਾਂਚ ਕਰਦਾ ਹੈ। HappyDoor, regsvr32.exe ਦੁਆਰਾ ਇੱਕ DLL ਫਾਈਲ ਵਜੋਂ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਹੈ, HTTP ਦੁਆਰਾ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਸ ਦੀਆਂ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਵਿੱਚ ਡੇਟਾ ਚੋਰੀ, ਫਾਈਲ ਡਾਉਨਲੋਡ/ਅੱਪਲੋਡ ਸਮਰੱਥਾਵਾਂ, ਅਤੇ ਸਵੈ-ਅਪਡੇਟ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਹੈ।

ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀਆਂ ਲਾਗਾਂ ਪੀੜਤਾਂ ਲਈ ਗੰਭੀਰ ਨਤੀਜੇ ਲੈ ਸਕਦੀਆਂ ਹਨ

ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਇਨਫੈਕਸ਼ਨਾਂ ਦੇ ਸ਼ਿਕਾਰ ਇਨ੍ਹਾਂ ਖਤਰਿਆਂ ਦੇ ਗੁਪਤ ਅਤੇ ਨਿਰੰਤਰ ਸੁਭਾਅ ਦੇ ਕਾਰਨ ਗੰਭੀਰ ਨਤੀਜਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰ ਸਕਦੇ ਹਨ। ਇੱਥੇ ਕੁਝ ਸੰਭਾਵੀ ਪ੍ਰਭਾਵ ਹਨ:

• ਡਾਟਾ ਚੋਰੀ : ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਅਕਸਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਜਿਵੇਂ ਕਿ ਲੌਗਇਨ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਵਿੱਤੀ ਡੇਟਾ, ਬੌਧਿਕ ਜਾਇਦਾਦ ਅਤੇ ਨਿੱਜੀ ਫਾਈਲਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ। ਇਸ ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਦਾ ਵਿੱਤੀ ਲਾਭ ਲਈ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜਾਂ ਹੋਰ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ।
• ਨਿਗਰਾਨੀ ਅਤੇ ਨਿਗਰਾਨੀ : ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪੀੜਤ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਅਤੇ ਨਿਗਰਾਨੀ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾ ਸਕਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਕੀਸਟ੍ਰੋਕ, ਸਕ੍ਰੀਨਸ਼ਾਟ, ਵੈਬਕੈਮ ਫੀਡ ਅਤੇ ਮਾਈਕ੍ਰੋਫੋਨ ਇਨਪੁਟ ਸ਼ਾਮਲ ਹਨ। ਗੋਪਨੀਯਤਾ ਦੇ ਇਸ ਹਮਲੇ ਨਾਲ ਨਿੱਜੀ ਜਾਂ ਕਾਰਪੋਰੇਟ ਜਾਸੂਸੀ ਹੋ ਸਕਦੀ ਹੈ।
• ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ : ਹਮਲਾਵਰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਸ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ ਸਿਸਟਮਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਜਾਂ ਤੋੜ-ਮਰੋੜ ਕਰਨ, ਸੰਚਾਲਨ ਵਿੱਚ ਵਿਘਨ ਪਾਉਣ ਜਾਂ ਵਾਧੂ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਵੀ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।
• ਸਿਸਟਮ ਸਮਝੌਤਾ : ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਅਕਸਰ ਸਿਸਟਮ ਦੀ ਸਮੁੱਚੀ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਦੇ ਹਨ, ਇਸ ਨੂੰ ਹੋਰ ਸ਼ੋਸ਼ਣ ਲਈ ਕਮਜ਼ੋਰ ਬਣਾਉਂਦੇ ਹਨ। ਇਸ ਨਾਲ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਹੋਰ ਜੁੜੇ ਸਿਸਟਮਾਂ ਜਾਂ ਸਰੋਤਾਂ ਨਾਲ ਸਮਝੌਤਾ ਹੋ ਸਕਦਾ ਹੈ।
• ਵਿੱਤੀ ਨੁਕਸਾਨ : ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਫੰਡਾਂ ਦੀ ਚੋਰੀ, ਵਪਾਰਕ ਮੌਕਿਆਂ ਦੇ ਨੁਕਸਾਨ, ਕਾਨੂੰਨੀ ਦੇਣਦਾਰੀਆਂ ਅਤੇ ਉਪਚਾਰ ਅਤੇ ਰਿਕਵਰੀ ਦੇ ਯਤਨਾਂ ਨਾਲ ਜੁੜੇ ਖਰਚਿਆਂ ਕਾਰਨ ਵਿੱਤੀ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ।
• ਵੱਕਾਰ ਨੂੰ ਨੁਕਸਾਨ : ਸੰਸਥਾਵਾਂ ਲਈ, ਇੱਕ ਬੈਕਡੋਰ ਇਨਫੈਕਸ਼ਨ ਕਾਰਨ ਸਾਖ ਨੂੰ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ, ਗਾਹਕ ਦੇ ਵਿਸ਼ਵਾਸ ਦਾ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ ਅਤੇ ਬ੍ਰਾਂਡ ਮੁੱਲ ਘਟ ਸਕਦਾ ਹੈ। ਇਸ ਦੇ ਕਾਰੋਬਾਰੀ ਸਬੰਧਾਂ ਅਤੇ ਕਾਰਜਾਂ 'ਤੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਨਤੀਜੇ ਹੋ ਸਕਦੇ ਹਨ।
• ਸੰਚਾਲਨ ਵਿਘਨ : ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਸਿਸਟਮ ਕਰੈਸ਼, ਸੁਸਤੀ ਜਾਂ ਸੇਵਾ ਦੀਆਂ ਸਥਿਤੀਆਂ ਤੋਂ ਇਨਕਾਰ ਕਰਕੇ ਆਮ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਵਿਘਨ ਪਾ ਸਕਦੇ ਹਨ। ਇਸ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਵਿਘਨ ਵਾਲੀਆਂ ਸੇਵਾਵਾਂ ਦੇ ਕਾਰਨ ਡਾਊਨਟਾਈਮ, ਉਤਪਾਦਕਤਾ ਦਾ ਨੁਕਸਾਨ ਅਤੇ ਵਿੱਤੀ ਪ੍ਰਭਾਵ ਹੋ ਸਕਦੇ ਹਨ।
• ਰੈਗੂਲੇਟਰੀ ਅਤੇ ਪਾਲਣਾ ਮੁੱਦੇ : ਸੰਗਠਨਾਂ ਨੂੰ ਰੈਗੂਲੇਟਰੀ ਜੁਰਮਾਨੇ ਅਤੇ ਕਾਨੂੰਨੀ ਨਤੀਜਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈ ਸਕਦਾ ਹੈ ਜੇਕਰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨਾਂ ਜਾਂ ਉਦਯੋਗ ਨਿਯਮਾਂ ਦੇ ਅਧੀਨ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਸੰਭਾਲਦੇ ਹਨ।
• ਖੋਜ ਅਤੇ ਹਟਾਉਣ ਵਿੱਚ ਮੁਸ਼ਕਲ : ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਜਿਵੇਂ ਕਿ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਸੌਫਟਵੇਅਰ ਅਤੇ ਫਾਇਰਵਾਲਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਉਹਨਾਂ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਖੋਜਣਾ ਅਤੇ ਹਟਾਉਣਾ ਚੁਣੌਤੀਪੂਰਨ ਹੋ ਸਕਦਾ ਹੈ, ਜਿਸ ਲਈ ਵਿਸ਼ੇਸ਼ ਗਿਆਨ ਅਤੇ ਸਾਧਨਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
• ਲੰਬੇ ਸਮੇਂ ਦੀ ਕਮਜ਼ੋਰੀ : ਸ਼ੁਰੂਆਤੀ ਉਪਚਾਰ ਤੋਂ ਬਾਅਦ ਵੀ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਭਵਿੱਖ ਦੇ ਹਮਲਿਆਂ ਜਾਂ ਨਿਸ਼ਚਿਤ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਲਗਾਤਾਰ ਬੈਕਡੋਰ ਰੀਐਕਟੀਵੇਸ਼ਨ ਕੋਸ਼ਿਸ਼ਾਂ ਲਈ ਕਮਜ਼ੋਰ ਰਹਿ ਸਕਦੇ ਹਨ।

ਕੁੱਲ ਮਿਲਾ ਕੇ, ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਸੰਕਰਮਣ ਦੇ ਨਤੀਜੇ ਗੰਭੀਰ ਅਤੇ ਬਹੁਪੱਖੀ ਹੋ ਸਕਦੇ ਹਨ, ਵਿੱਤੀ, ਸੰਚਾਲਨ ਅਤੇ ਪ੍ਰਤਿਸ਼ਠਾਤਮਕ ਨੁਕਸਾਨ ਦੇ ਨਾਲ-ਨਾਲ ਉਹਨਾਂ ਦੀ ਗੋਪਨੀਯਤਾ ਅਤੇ ਸੁਰੱਖਿਆ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਰੂਪ ਵਿੱਚ ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਦੋਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦੇ ਹਨ।