Multi-License Discount Quote
Hotdatabas Backdoors Xctdoor Bakdörr

Xctdoor Bakdörr

Med Mezo år Backdoors, Advanced Persistent Threat (APT)
Översätt till:
Svenska

En sydkoreansk ERP (Enterprise Resource Planning)-leverantörs uppdateringsserver upptäcktes som komprometterad och distribuerade en Go-baserad bakdörr med namnet Xctdoor. Forskare avslöjade denna attack i maj 2024, och även om de inte pekade ut en specifik hotaktör eller grupp, noterade de likheter med taktik som användes av Andariel , en undergrupp kopplad till den ökända Lazarus-gruppen .

Denna taktik återspeglar tidigare incidenter som involverade den nordkoreanska motståndaren, som tidigare utnyttjade ERP-lösningen för att sprida skadlig programvara som HotCroissant (även känd som Rifdoor ) 2017. Detta uppnåddes genom att implantera skadlig kod i en mjukvaruuppdateringsmekanism.

Xctdoor-bakdörren förser angripare med många skadliga funktioner

Under attackanalysen fastställdes det att den körbara filen ändrades för att köra en DLL-fil från en specifik sökväg med regsvr32.exe-processen istället för att initiera en nedladdning. Den här DLL-filen, känd som Xctdoor, har kapacitet för att fånga systeminformation såsom tangenttryckningar, skärmdumpar och urklippsinnehåll och att utföra kommandon som utfärdats av angriparen.

Xctdoor kommunicerar med en Command-and-Control-server (C2) över HTTP, med paketkryptering som använder Mersenne Twister (MT19937) och Base64-algoritmerna. Attacken involverar också en annan malware-variant som heter XcLoader, designad för att injicera Xctdoor i legitima processer som "explorer.exe". Nya fynd tyder på fall där otillräckligt säkrade webbservrar har äventyrats för att installera XcLoader sedan åtminstone mars 2024.

Samma process som missbrukas av andra hot mot skadlig programvara

Regsvr32.exe-processen har utnyttjats i andra kampanjer kopplade till Nordkorea, särskilt av Kimsuky APT-gruppen. De har använt en hemlig bakdörr som heter HappyDoor, i drift sedan åtminstone juli 2021.

Dessa attacksekvenser börjar vanligtvis med e-postmeddelanden om nätfiske som distribuerar en komprimerad fil. Inom det här arkivet hittas en obfuskerad JavaScript eller dropper, som vid körning startar HappyDoor tillsammans med en lockbetsfil. HappyDoor, implementerad som en DLL-fil via regsvr32.exe, upprättar kommunikation med en fjärrserver via HTTP. Dess funktioner inkluderar datastöld, nedladdnings-/uppladdningsmöjligheter för filer och möjligheten att själv uppdatera och avsluta processer.

Bakdörrsinfektioner kan få allvarliga konsekvenser för offer

Offer för bakdörrsinfektioner med skadlig kod kan utsättas för allvarliga konsekvenser på grund av dessa hots smygande och ihållande karaktär. Här är några potentiella effekter:

  • Datastöld : Bakdörrar tillåter ofta angripare att samla in privat information som inloggningsuppgifter, finansiella data, immateriella rättigheter och personliga filer. Denna insamlade data kan utnyttjas för ekonomisk vinning eller användas i ytterligare attacker.
  • Övervakning och övervakning : Bakdörrar kan göra det möjligt för angripare att övervaka och övervaka offrets aktiviteter, inklusive tangenttryckningar, skärmdumpar, webbkameraflöden och mikrofoninmatning. Denna integritetsintrång kan leda till personligt eller företagsspionage.
  • Obehörig åtkomst : Angripare kan få långvarig obehörig åtkomst till komprometterade system. Denna åtkomst kan användas för att manipulera eller sabotera system, störa verksamheten eller till och med distribuera ytterligare skadlig programvara.
  • Systemkompromiss : Bakdörrar försvagar ofta systemets övergripande säkerhetsställning, vilket gör det sårbart för ytterligare utnyttjande. Detta kan leda till att andra anslutna system eller resurser inom nätverket kompromissar.
  • Ekonomisk förlust : Företag kan drabbas av ekonomiska förluster på grund av stöld av pengar, förlust av affärsmöjligheter, juridiska skulder och kostnader i samband med sanering och återhämtning.
  • Skada på rykte : För organisationer kan en bakdörrsinfektion leda till skada på rykte, förlust av kundernas förtroende och minskat varumärkesvärde. Detta kan få långsiktiga konsekvenser för affärsrelationer och verksamhet.
  • Driftstörningar : Bakdörrar kan störa normal drift genom att orsaka systemkrascher, avmattningar eller förbjudna tjänster. Detta kan resultera i stillestånd, produktivitetsförlust och ekonomiska konsekvenser på grund av störda tjänster.
  • Regulatoriska och efterlevnadsfrågor : Organisationer kan drabbas av regulatoriska böter och juridiska konsekvenser om de komprometterade systemen hanterar känsliga uppgifter som omfattas av integritetslagar eller branschföreskrifter.
  • Svårighet att upptäcka och ta bort : Bakdörrar är utformade för att undvika upptäckt genom säkerhetsåtgärder som anti-malware-program och brandväggar. Att upptäcka och ta bort dem helt och hållet kan vara utmanande och kräver specialiserad kunskap och verktyg.
  • Långsiktig sårbarhet : Även efter den första åtgärden kan komprometterade system förbli sårbara för framtida attacker eller ihållande återaktiveringsförsök bakdörr av beslutsamma angripare.

Sammantaget kan konsekvenserna av bakdörrsinfektioner med skadlig kod vara allvarliga och mångfacetterade, vilket påverkar både individer och organisationer i form av ekonomisk, operativ och anseende skada, samt äventyra deras integritet och säkerhet.

Trendigt

Mest sedda

Läser in...