Zadné vrátka Xctdoor

Zistilo sa, že aktualizačný server juhokórejského dodávateľa ERP (Enterprise Resource Planning) je kompromitovaný a distribuuje zadné vrátka na báze Go s názvom Xctdoor. Výskumníci odhalili tento útok v máji 2024, a hoci neurčili konkrétneho aktéra alebo skupinu hrozby, zaznamenali podobnosti s taktikou používanou Andariel , podskupinou spojenou s notoricky známou skupinou Lazarus Group .

Tieto taktiky odrážajú minulé incidenty so severokórejským protivníkom, ktorý v roku 2017 predtým využíval riešenie ERP na šírenie škodlivého softvéru, akým je napríklad HotCroissant (známy aj ako Rifdoor ). Dosiahlo sa to implantovaním škodlivého kódu do mechanizmu aktualizácie softvéru.

Xctdoor Backdoor poskytuje útočníkom množstvo škodlivých schopností

Počas analýzy útoku sa zistilo, že spustiteľný súbor bol pozmenený tak, aby spustil súbor DLL zo špecifickej cesty pomocou procesu regsvr32.exe namiesto spustenia sťahovača. Tento súbor DLL, známy ako Xctdoor, má funkcie na zachytávanie systémových informácií, ako sú stlačenia klávesov, snímky obrazovky a obsah schránky, a na vykonávanie príkazov vydaných útočníkom.

Xctdoor komunikuje so serverom Command-and-Control (C2) cez HTTP, pričom šifrovanie paketov využíva algoritmy Mersenne Twister (MT19937) a Base64. Útok zahŕňa aj ďalší variant malvéru s názvom XcLoader, ktorý je navrhnutý tak, aby vložil Xctdoor do legitímnych procesov, ako je „explorer.exe“. Nedávne zistenia poukazujú na prípady, kedy boli nedostatočne zabezpečené webové servery napadnuté pri inštalácii XcLoadera minimálne od marca 2024.

Rovnaký proces zneužívaný inými hrozbami malvéru

Proces regsvr32.exe bol využitý v iných kampaniach spojených so Severnou Kóreou, najmä skupinou Kimsuky APT. Využili nezverejnené zadné vrátka s názvom HappyDoor, ktoré sú v prevádzke minimálne od júla 2021.

Tieto útočné sekvencie zvyčajne začínajú e-mailami typu spear-phishing, ktoré distribuujú komprimovaný súbor. V tomto archíve sa nájde zahmlený JavaScript alebo dropper, ktorý po spustení spustí HappyDoor spolu s návnadou. HappyDoor, implementovaný ako súbor DLL cez regsvr32.exe, nadväzuje komunikáciu so vzdialeným serverom cez HTTP. Medzi jeho funkcie patrí krádež údajov, možnosti sťahovania/nahrávania súborov a schopnosť samostatne aktualizovať a ukončiť procesy.

Backdoor Infekcie môžu mať pre obete vážne následky

Obete infekcií backdoor malvérom môžu čeliť vážnym následkom v dôsledku nenápadnej a trvalej povahy týchto hrozieb. Tu sú niektoré potenciálne vplyvy:

• Krádež údajov : Zadné vrátka často umožňujú útočníkom získavať súkromné informácie, ako sú prihlasovacie údaje, finančné údaje, duševné vlastníctvo a osobné súbory. Tieto zhromaždené údaje môžu byť zneužité na finančný zisk alebo použité na ďalšie útoky.
• Sledovanie a monitorovanie : Zadné vrátka môžu útočníkom umožniť sledovať a sledovať aktivity obete, vrátane stlačenia klávesov, snímok obrazovky, kanálov webovej kamery a vstupu z mikrofónu. Toto narušenie súkromia môže viesť k osobnej alebo firemnej špionáži.
• Neoprávnený prístup : Útočníci môžu získať dlhší neoprávnený prístup k napadnutým systémom. Tento prístup možno použiť na manipuláciu alebo sabotovanie systémov, narušenie operácií alebo dokonca nasadenie ďalšieho škodlivého softvéru.
• Kompromis systému : Zadné vrátka často oslabujú celkovú bezpečnostnú pozíciu systému, čím sa stáva zraniteľným voči ďalšiemu zneužitiu. To môže viesť ku kompromitácii iných pripojených systémov alebo zdrojov v rámci siete.
• Finančná strata : Podniky môžu utrpieť finančné straty v dôsledku krádeže finančných prostriedkov, straty obchodných príležitostí, právnych záväzkov a nákladov spojených s nápravou a vymáhaním.
• Poškodenie reputácie : Infekcia zadných vrátok môže v organizáciách viesť k poškodeniu reputácie, strate dôvery zákazníkov a zníženiu hodnoty značky. To môže mať dlhodobé dôsledky na obchodné vzťahy a prevádzku.
• Prevádzkové narušenie : Zadné vrátka môžu narušiť normálnu prevádzku spôsobením zlyhania systému, spomalenia alebo odmietnutia servisu. To môže mať za následok prestoje, stratu produktivity a finančné dopady v dôsledku prerušených služieb.
• Problémy s reguláciou a dodržiavaním predpisov : Organizácie môžu čeliť regulačným pokutám a právnym následkom, ak ohrozené systémy narábajú s citlivými údajmi, ktoré podliehajú zákonom o ochrane osobných údajov alebo priemyselným predpisom.
• Ťažkosti s detekciou a odstránením : Zadné vrátka sú navrhnuté tak, aby sa vyhli detekcii bezpečnostnými opatreniami, ako je antimalvérový softvér a firewally. Ich úplné zistenie a odstránenie môže byť náročné a vyžaduje si špecializované znalosti a nástroje.
• Dlhodobá zraniteľnosť : Aj po počiatočnej náprave môžu ohrozené systémy zostať zraniteľné voči budúcim útokom alebo pretrvávajúcim pokusom o opätovnú aktiváciu zadných vrátok zo strany odhodlaných útočníkov.

Celkovo môžu byť následky infekcií backdoor škodlivým softvérom vážne a mnohostranné, pričom môžu mať dopad na jednotlivcov aj organizácie z hľadiska finančných, prevádzkových a reputačných škôd, ako aj ohrozenia ich súkromia a bezpečnosti.