Xctdoor Бэкдор

Сервер обновлений южнокорейского поставщика ERP (Enterprise Resource Planning) был обнаружен скомпрометированным и распространял бэкдор на основе Go под названием Xctdoor. Исследователи обнаружили эту атаку в мае 2024 года, и, хотя они не определили конкретного злоумышленника или группу, они отметили сходство с тактикой, используемой Андариэль , подгруппой, связанной с пресловутой Группой Лазаря .

Эта тактика повторяет прошлые инциденты с участием северокорейского противника, который ранее использовал решение ERP для распространения вредоносного ПО, такого как HotCroissant (также известное как Rifdoor ) в 2017 году. Это было достигнуто путем внедрения вредоносного кода в механизм обновления программного обеспечения.

Бэкдор Xctdoor предоставляет злоумышленникам множество вредоносных возможностей

В ходе анализа атаки было установлено, что исполняемый файл был изменен для запуска файла DLL по определенному пути с использованием процесса regsvr32.exe вместо запуска загрузчика. Этот файл DLL, известный как Xctdoor, обладает возможностями для захвата системной информации, такой как нажатия клавиш, снимки экрана и содержимое буфера обмена, а также выполнения команд, выдаваемых злоумышленником.

Xctdoor взаимодействует с сервером управления и контроля (C2) через HTTP с шифрованием пакетов с использованием алгоритмов Mersenne Twister (MT19937) и Base64. В атаке также задействован другой вариант вредоносного ПО под названием XcLoader, предназначенный для внедрения Xctdoor в законные процессы, такие как explorer.exe. Недавние результаты указывают на случаи, когда недостаточно защищенные веб-серверы были взломаны для установки XcLoader, по крайней мере, с марта 2024 года.

Тот же процесс используется другими угрозами вредоносного ПО

Процесс regsvr32.exe использовался в других кампаниях, связанных с Северной Кореей, в частности группой Kimsuky APT. Они использовали неизвестный бэкдор под названием HappyDoor, работающий как минимум с июля 2021 года.

Эти последовательности атак обычно начинаются с целевых фишинговых писем, распространяющих сжатый файл. В этом архиве находится запутанный JavaScript или дроппер, который при выполнении запускает HappyDoor вместе с файлом-приманкой. HappyDoor, реализованный в виде файла DLL через regsvr32.exe, устанавливает связь с удаленным сервером через HTTP. Его функциональные возможности включают кражу данных, возможность загрузки/выгрузки файлов, а также возможность самостоятельного обновления и завершения процессов.

Заражение через черный ход может иметь серьезные последствия для жертв

Жертвы заражения вредоносным ПО через бэкдор могут столкнуться с серьезными последствиями из-за скрытного и постоянного характера этих угроз. Вот некоторые потенциальные последствия:

• Кража данных . Бэкдоры часто позволяют злоумышленникам собирать личную информацию, такую как учетные данные для входа, финансовые данные, интеллектуальную собственность и личные файлы. Эти собранные данные могут быть использованы для получения финансовой выгоды или использования в дальнейших атаках.
• Наблюдение и мониторинг : бэкдоры могут позволить злоумышленникам отслеживать и отслеживать действия жертвы, включая нажатия клавиш, снимки экрана, изображения с веб-камеры и входные данные с микрофона. Такое вторжение в частную жизнь может привести к личному или корпоративному шпионажу.
• Несанкционированный доступ . Злоумышленники могут получить длительный несанкционированный доступ к скомпрометированным системам. Этот доступ может быть использован для манипулирования системами или саботажа, срыва операций или даже для развертывания дополнительных вредоносных программ.
• Компрометация системы . Бэкдоры часто ослабляют общую безопасность системы, делая ее уязвимой для дальнейшего использования. Это может привести к компрометации других подключенных систем или ресурсов в сети.
• Финансовые потери : Предприятия могут понести финансовые потери из-за кражи средств, потери деловых возможностей, юридических обязательств и затрат, связанных с усилиями по исправлению и восстановлению.
• Ущерб репутации . Для организаций бэкдор-инфекция может привести к репутационному ущербу, потере доверия клиентов и снижению ценности бренда. Это может иметь долгосрочные последствия для деловых отношений и операций.
• Нарушение работы : бэкдоры могут нарушить нормальную работу системы, вызывая сбои в работе системы, замедление работы или отказ в обслуживании. Это может привести к простоям, снижению производительности и финансовым последствиям из-за сбоев в предоставлении услуг.
• Проблемы регулирования и соответствия . Организации могут столкнуться со штрафами со стороны регулирующих органов и юридическими последствиями, если скомпрометированные системы обрабатывают конфиденциальные данные, подпадающие под действие законов о конфиденциальности или отраслевых правил.
• Сложность обнаружения и удаления . Бэкдоры предназначены для уклонения от обнаружения с помощью мер безопасности, таких как антивирусное программное обеспечение и брандмауэры. Их обнаружение и полное удаление может быть сложной задачей, требующей специальных знаний и инструментов.
• Долгосрочная уязвимость : даже после первоначального устранения скомпрометированные системы могут оставаться уязвимыми для будущих атак или постоянных попыток повторной активации бэкдора со стороны решительных злоумышленников.

В целом, последствия заражения вредоносным ПО через бэкдор могут быть серьезными и многогранными, затрагивая как отдельных лиц, так и организации с точки зрения финансового, операционного и репутационного ущерба, а также ставя под угрозу их конфиденциальность и безопасность.