Multi-License Discount Quote
Тхреат Датабасе Backdoors Ксцтдоор Бацкдоор

Ксцтдоор Бацкдоор

До Mezo. у Backdoors, Advanced Persistent Threat (APT)
Преведи на:
Српски

Откривен је компромитован сервер за ажурирање јужнокорејског ЕРП (Ентерприсе Ресоурце Планнинг) добављача који дистрибуира бацкдоор заснован на Го-у под називом Ксцтдоор. Истраживачи су открили овај напад у мају 2024. године, и иако нису прецизирали конкретног актера претње или групу, приметили су сличности са тактикама које користи Андариел , подгрупа повезана са озлоглашеном Лазарус групом .

Ове тактике одражавају прошле инциденте који су укључивали севернокорејског противника, који је раније користио ЕРП решење за ширење малвера као што је ХотЦроиссант (познат и као Рифдоор ) 2017. Ово је постигнуто имплантацијом злонамерног кода у механизам за ажурирање софтвера.

Ксцтдоор Бацкдоор пружа нападачима бројне штетне могућности

Током анализе напада, утврђено је да је извршни фајл измењен тако да покреће ДЛЛ датотеку са одређене путање користећи процес регсвр32.еке уместо покретања програма за преузимање. Ова ДЛЛ датотека, позната као Ксцтдоор, поседује могућности за хватање системских информација као што су притиском на тастере, снимци екрана и садржај међуспремника, и извршавање команди које је издао нападач.

Ксцтдоор комуницира са сервером за команду и контролу (Ц2) преко ХТТП-а, са шифровањем пакета користећи Мерсенне Твистер (МТ19937) и Басе64 алгоритме. Напад такође укључује још једну варијанту злонамерног софтвера под називом КсцЛоадер, дизајнирану да убризга Ксцтдоор у легитимне процесе попут „екплорер.еке“. Недавни налази указују на случајеве у којима су неадекватно обезбеђени веб сервери компромитовани да би се инсталирао КсцЛоадер најмање од марта 2024.

Исти процес који злоупотребљавају друге претње злонамерног софтвера

Процес регсвр32.еке је искоришћен у другим кампањама повезаним са Северном Корејом, посебно од стране Кимсуки АПТ групе. Користили су неоткривена позадинска врата под називом ХаппиДоор, која је оперативна најмање од јула 2021.

Ове секвенце напада обично почињу са спеар-пхисхинг порукама е-поште које дистрибуирају компримовану датотеку. Унутар ове архиве, пронађен је замагљен ЈаваСцрипт или дроппер, који, након извршења, покреће ХаппиДоор заједно са датотеком за мамце. ХаппиДоор, имплементиран као ДЛЛ датотека преко регсвр32.еке, успоставља комуникацију са удаљеним сервером преко ХТТП-а. Његове функционалности укључују крађу података, могућност преузимања/учитавања датотека и могућност самосталног ажурирања и прекида процеса.

Бацкдоор инфекције могу имати тешке последице по жртве

Жртве бацкдоор инфекција малвером могу се суочити са тешким последицама због скривене и упорне природе ових претњи. Ево неких потенцијалних утицаја:

  • Крађа података : Бацкдоорс често дозвољавају нападачима да прикупе приватне информације као што су акредитиви за пријаву, финансијски подаци, интелектуална својина и лични фајлови. Ови прикупљени подаци се могу искористити за финансијску добит или користити у даљим нападима.
  • Надзор и надгледање : Бацкдоорс могу омогућити нападачима да надгледају и надгледају активности жртве, укључујући притиске на тастере, снимке екрана, фидове веб камере и улаз микрофона. Ова инвазија на приватност може довести до личне или корпоративне шпијунаже.
  • Неовлашћени приступ : Нападачи могу добити продужени неовлашћени приступ компромитованим системима. Овај приступ се може користити за манипулацију или саботирање система, ометање операција или чак постављање додатног малвера.
  • Компромис система : Бацкдоорс често слабе укупни безбедносни положај система, чинећи га рањивим на даљу експлоатацију. Ово може довести до компромитовања других повезаних система или ресурса унутар мреже.
  • Финансијски губитак : Предузећа могу претрпети финансијске губитке због крађе средстава, губитка пословних прилика, правних обавеза и трошкова повезаних са напорима за санацију и опоравак.
  • Оштећење репутације : За организације, бацкдоор инфекција може довести до оштећења репутације, губитка поверења купаца и смањене вредности бренда. Ово може имати дугорочне последице на пословне односе и пословање.
  • Поремећај у раду : Позадинска врата могу пореметити нормалне операције узрокујући падове система, успоравање или ускраћивање услова услуге. Ово може довести до застоја, губитка продуктивности и финансијских утицаја због поремећених услуга.
  • Регулаторна питања и питања усклађености : Организације се могу суочити са регулаторним казнама и правним последицама ако компромитовани системи рукују осетљивим подацима који подлежу законима о приватности или индустријским прописима.
  • Потешкоће у откривању и уклањању : Позадинска врата су дизајнирана да избегну откривање безбедносним мерама као што су софтвер против малвера и заштитни зидови. Њихово откривање и потпуно уклањање може бити изазовно, захтева специјализовано знање и алате.
  • Дугорочна рањивост : Чак и након иницијалне санације, компромитовани системи могу остати рањиви на будуће нападе или упорне покушаје реактивације од стране одлучних нападача.

Све у свему, последице заразе малвером у позадини могу бити озбиљне и вишеструке, утичући и на појединце и на организације у смислу финансијске, оперативне и репутационе штете, као и на угрожавање њихове приватности и безбедности.

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
38,825
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...