Backdoor Xctdoor

Odkryto, że serwer aktualizacji południowokoreańskiego dostawcy oprogramowania ERP (Enterprise Resource Planning) został naruszony i rozpowszechniał backdoora opartego na Go o nazwie Xctdoor. Badacze odkryli ten atak w maju 2024 r. i chociaż nie wskazali konkretnego ugrupowania ani grupy stanowiącej zagrożenie, zauważyli podobieństwa z taktyką stosowaną przez Andariel , podgrupę powiązaną z osławioną Grupą Lazarus .

Taktyka ta nawiązuje do incydentów z przeszłości z udziałem północnokoreańskiego przeciwnika, który w 2017 r. wcześniej wykorzystywał rozwiązanie ERP do rozprzestrzeniania złośliwego oprogramowania, takiego jak HotCroissant (znanego również jako Rifdoor ). Osiągnięto to poprzez wszczepienie złośliwego kodu do mechanizmu aktualizacji oprogramowania.

Backdoor Xctdoor zapewnia atakującym wiele szkodliwych możliwości

Podczas analizy ataku ustalono, że plik wykonywalny został zmodyfikowany w taki sposób, aby uruchamiał plik DLL z określonej ścieżki przy użyciu procesu regsvr32.exe zamiast inicjować moduł pobierania. Ten plik DLL, znany jako Xctdoor, posiada możliwości przechwytywania informacji o systemie, takich jak naciśnięcia klawiszy, zrzuty ekranu i zawartość schowka, a także wykonywania poleceń wydanych przez atakującego.

Xctdoor komunikuje się z serwerem Command and Control (C2) za pośrednictwem protokołu HTTP, szyfrując pakiety przy użyciu algorytmów Mersenne Twister (MT19937) i Base64. Atak wykorzystuje także inny wariant złośliwego oprogramowania o nazwie XcLoader, którego zadaniem jest wstrzykiwanie Xctdoor do legalnych procesów, takich jak „explorer.exe”. Ostatnie ustalenia wskazują, że co najmniej od marca 2024 r. nieodpowiednio zabezpieczone serwery internetowe zostały naruszone w celu zainstalowania XcLoadera.

Ten sam proces wykorzystywany przez inne zagrożenia złośliwym oprogramowaniem

Proces regsvr32.exe był wykorzystywany w innych kampaniach powiązanych z Koreą Północną, w szczególności przez grupę Kimsuky APT. Wykorzystali nieujawnionego backdoora o nazwie HappyDoor, działającego co najmniej od lipca 2021 r.

Te sekwencje ataków zwykle rozpoczynają się od wiadomości e-mail typu spear-phishing, w których rozpowszechniany jest skompresowany plik. W tym archiwum znajduje się zaciemniony kod JavaScript lub dropper, który po uruchomieniu uruchamia HappyDoor wraz z plikiem-wabikiem. HappyDoor, zaimplementowany jako plik DLL poprzez regsvr32.exe, nawiązuje komunikację ze zdalnym serwerem poprzez HTTP. Jego funkcje obejmują kradzież danych, możliwość pobierania/przesyłania plików oraz możliwość samodzielnej aktualizacji i kończenia procesów.

Infekcje backdoorem mogą mieć poważne konsekwencje dla ofiar

Ofiary infekcji złośliwym oprogramowaniem typu backdoor mogą ponieść poważne konsekwencje ze względu na ukryty i trwały charakter tych zagrożeń. Oto kilka potencjalnych skutków:

• Kradzież danych : Backdoory często umożliwiają atakującym przechwytywanie prywatnych informacji, takich jak dane logowania, dane finansowe, własność intelektualna i pliki osobiste. Zebrane dane można wykorzystać do celów finansowych lub wykorzystać w dalszych atakach.
• Nadzór i monitorowanie : tylne drzwi mogą umożliwiać atakującym monitorowanie i kontrolowanie działań ofiary, w tym naciśnięć klawiszy, zrzutów ekranu, transmisji z kamery internetowej i wejścia mikrofonu. Naruszenie prywatności może prowadzić do szpiegostwa osobistego lub korporacyjnego.
• Nieautoryzowany dostęp : osoby atakujące mogą uzyskać długotrwały nieautoryzowany dostęp do zaatakowanych systemów. Dostęp ten można wykorzystać do manipulowania lub sabotowania systemów, zakłócania operacji, a nawet wdrażania dodatkowego złośliwego oprogramowania.
• Kompromis systemu : Backdoory często osłabiają ogólny stan bezpieczeństwa systemu, czyniąc go podatnym na dalszą eksploatację. Może to prowadzić do naruszenia bezpieczeństwa innych podłączonych systemów lub zasobów w sieci.
• Straty finansowe : Firmy mogą ponieść straty finansowe z powodu kradzieży funduszy, utraty możliwości biznesowych, zobowiązań prawnych i kosztów związanych z działaniami zaradczymi i odzyskiem.
• Uszkodzenie reputacji : W przypadku organizacji infekcja backdoorem może prowadzić do uszkodzenia reputacji, utraty zaufania klientów i zmniejszenia wartości marki. Może to mieć długoterminowe konsekwencje dla relacji biznesowych i operacji.
• Zakłócenia w działaniu : Backdoory mogą zakłócać normalne działanie, powodując awarie systemu, spowolnienia lub warunki odmowy usługi. Może to skutkować przestojami, utratą produktywności i konsekwencjami finansowymi z powodu zakłóceń w świadczeniu usług.
• Kwestie regulacyjne i związane ze zgodnością : Organizacje mogą zostać ukarane karami regulacyjnymi i konsekwencjami prawnymi, jeśli zaatakowane systemy przetwarzają wrażliwe dane zgodnie z przepisami dotyczącymi prywatności lub przepisami branżowymi.
• Trudność w wykryciu i usunięciu : Backdoory są zaprojektowane tak, aby uniknąć wykrycia przez środki bezpieczeństwa, takie jak oprogramowanie chroniące przed złośliwym oprogramowaniem i zapory ogniowe. Wykrycie i całkowite ich usunięcie może być wyzwaniem i wymagać specjalistycznej wiedzy i narzędzi.
• Luka długoterminowa : nawet po wstępnym naprawieniu zaatakowane systemy mogą pozostać podatne na przyszłe ataki lub ciągłe próby ponownej aktywacji backdoora podejmowane przez zdeterminowanych napastników.

Ogólnie rzecz biorąc, konsekwencje infekcji złośliwym oprogramowaniem typu backdoor mogą być poważne i wieloaspektowe i wpływać zarówno na osoby fizyczne, jak i organizacje, powodując szkody finansowe, operacyjne i reputacyjne, a także zagrażając ich prywatności i bezpieczeństwu.