Xctdoor Zadnja vrata

Strežnik za posodabljanje južnokorejskega prodajalca ERP (Enterprise Resource Planning) je bil odkrit ogrožen, saj je distribuiral stranska vrata, ki temeljijo na Go, z imenom Xctdoor. Raziskovalci so ta napad odkrili maja 2024 in čeprav niso natančno določili določenega akterja grožnje ali skupine, so opazili podobnosti s taktikami, ki jih uporablja Andariel , podskupina, povezana z zloglasno skupino Lazarus .

Te taktike odmevajo pretekle incidente, v katere je bil vpleten severnokorejski nasprotnik, ki je pred tem izkoriščal rešitev ERP za širjenje zlonamerne programske opreme, kot je HotCroissant (znan tudi kot Rifdoor ), leta 2017. To je bilo doseženo z vsaditvijo zlonamerne kode v mehanizem za posodobitev programske opreme.

Zadnja vrata Xctdoor nudijo napadalcem številne škodljive zmožnosti

Med analizo napada je bilo ugotovljeno, da je bila izvršljiva datoteka spremenjena tako, da izvaja datoteko DLL z določene poti z uporabo procesa regsvr32.exe, namesto da bi sprožila prenosnik. Ta datoteka DLL, znana kot Xctdoor, ima zmogljivosti za zajemanje sistemskih informacij, kot so pritiski tipk, posnetki zaslona in vsebina odložišča, ter izvajanje ukazov, ki jih izda napadalec.

Xctdoor komunicira s strežnikom Command-and-Control (C2) preko HTTP-ja s šifriranjem paketov z uporabo algoritmov Mersenne Twister (MT19937) in Base64. Napad vključuje tudi drugo različico zlonamerne programske opreme, imenovano XcLoader, zasnovano za vbrizgavanje Xctdoorja v zakonite procese, kot je 'explorer.exe'. Nedavne ugotovitve kažejo na primere, ko so bili neustrezno zavarovani spletni strežniki ogroženi zaradi namestitve XcLoaderja vsaj od marca 2024.

Isti postopek zlorabijo druge grožnje zlonamerne programske opreme

Postopek regsvr32.exe je bil izkoriščen v drugih kampanjah, povezanih s Severno Korejo, zlasti v skupini Kimsuky APT. Uporabili so nerazkrita zadnja vrata z imenom HappyDoor, ki delujejo vsaj od julija 2021.

Ta zaporedja napadov se običajno začnejo z e-poštnimi sporočili z lažnim predstavljanjem, ki distribuirajo stisnjeno datoteko. Znotraj tega arhiva je najden zakrit JavaScript ali dropper, ki po izvedbi zažene HappyDoor skupaj z vabno datoteko. HappyDoor, implementiran kot datoteka DLL prek regsvr32.exe, vzpostavi komunikacijo z oddaljenim strežnikom prek HTTP. Njegove funkcionalnosti vključujejo krajo podatkov, zmožnosti prenosa/nalaganja datotek ter možnost samoposodabljanja in prekinitve procesov.

Okužbe prek vrat imajo lahko resne posledice za žrtve

Žrtve zakulisnih okužb z zlonamerno programsko opremo se lahko soočijo s hudimi posledicami zaradi prikrite in vztrajne narave teh groženj. Tukaj je nekaj možnih vplivov:

• Kraja podatkov : zakulisna vrata napadalcem pogosto omogočajo pridobivanje zasebnih podatkov, kot so poverilnice za prijavo, finančni podatki, intelektualna lastnina in osebne datoteke. Te zbrane podatke je mogoče izkoristiti za finančne koristi ali uporabiti v nadaljnjih napadih.
• Nadzor in spremljanje : Backdoors lahko napadalcem omogočijo spremljanje in nadzor dejavnosti žrtve, vključno s pritiski na tipke, posnetki zaslona, viri spletne kamere in vhodi iz mikrofona. Ta vdor v zasebnost lahko vodi do osebnega ali korporativnega vohunjenja.
• Nepooblaščen dostop : Napadalci lahko pridobijo dolgotrajen nepooblaščen dostop do ogroženih sistemov. Ta dostop je mogoče uporabiti za manipulacijo ali sabotažo sistemov, motenje delovanja ali celo namestitev dodatne zlonamerne programske opreme.
• Ogromnost sistema : zadnja vrata pogosto oslabijo splošno varnost sistema, zaradi česar je ranljiv za nadaljnje izkoriščanje. To lahko povzroči ogrožanje drugih povezanih sistemov ali virov znotraj omrežja.
• Finančna izguba : podjetja lahko utrpijo finančne izgube zaradi kraje sredstev, izgube poslovnih priložnosti, pravnih obveznosti in stroškov, povezanih s prizadevanji za sanacijo in izterjavo.
• Škoda za ugled : Za organizacije lahko okužba zakulisja povzroči škodo za ugled, izgubo zaupanja strank in zmanjšano vrednost blagovne znamke. To ima lahko dolgoročne posledice na poslovne odnose in poslovanje.
• Motnje v delovanju : zakulisna vrata lahko motijo normalno delovanje tako, da povzročijo zrušitve sistema, upočasnitve ali zavrnitev storitev. To lahko povzroči izpade, izgubo produktivnosti in finančne posledice zaradi motenj storitev.
• Težave s predpisi in skladnostjo : Organizacije se lahko soočijo z zakonskimi kaznimi in pravnimi posledicami, če ogroženi sistemi obravnavajo občutljive podatke, za katere veljajo zakoni o zasebnosti ali industrijski predpisi.
• Težave pri odkrivanju in odstranjevanju : Zadnja vrata so zasnovana tako, da se izognejo odkrivanju z varnostnimi ukrepi, kot so programska oprema proti zlonamerni programski opremi in požarni zidovi. Njihovo odkrivanje in popolna odstranitev je lahko zahtevna in zahteva posebno znanje in orodja.
• Dolgoročna ranljivost : tudi po začetni sanaciji lahko ogroženi sistemi ostanejo ranljivi za prihodnje napade ali vztrajne poskuse ponovne aktivacije zakulisnih vrat s strani odločnih napadalcev.

Na splošno so lahko posledice zakulisnih okužb z zlonamerno programsko opremo resne in večplastne ter vplivajo na posameznike in organizacije v smislu finančne, operativne škode in škode za ugled ter ogrožajo njihovo zasebnost in varnost.