Xctdoor பின்கதவு

ஒரு தென் கொரிய ஈஆர்பி (எண்டர்பிரைஸ் ரிசோர்ஸ் பிளான்னிங்) விற்பனையாளரின் புதுப்பிப்பு சேவையகம் சமரசம் செய்யப்பட்டதாகக் கண்டறியப்பட்டது. மே 2024 இல் ஆராய்ச்சியாளர்கள் இந்தத் தாக்குதலைக் கண்டுபிடித்தனர், மேலும் அவர்கள் ஒரு குறிப்பிட்ட அச்சுறுத்தல் நடிகர் அல்லது குழுவைக் குறிப்பிடவில்லை என்றாலும், மோசமான லாசரஸ் குழுவுடன் இணைக்கப்பட்ட துணைக்குழுவான Andariel பயன்படுத்தும் தந்திரோபாயங்களுடன் அவர்கள் ஒற்றுமையைக் குறிப்பிட்டனர்.

2017 ஆம் ஆண்டில் HotCroissant ( Rifdoor என்றும் அழைக்கப்படுகிறது) போன்ற தீம்பொருளைப் பரப்புவதற்கு ERP தீர்வைப் பயன்படுத்திய வட கொரிய எதிரி சம்பந்தப்பட்ட கடந்த கால சம்பவங்களை இந்த தந்திரோபாயங்கள் எதிரொலிக்கின்றன. இது ஒரு மென்பொருள் புதுப்பிப்பு பொறிமுறையில் தீங்கிழைக்கும் குறியீட்டைப் பொருத்துவதன் மூலம் அடையப்பட்டது.

Xctdoor பின்கதவு தாக்குபவர்களுக்கு பல தீங்கு விளைவிக்கும் திறன்களை வழங்குகிறது

தாக்குதல் பகுப்பாய்வின் போது, டவுன்லோடரைத் தொடங்குவதற்குப் பதிலாக regsvr32.exe செயல்முறையைப் பயன்படுத்தி ஒரு குறிப்பிட்ட பாதையில் இருந்து DLL கோப்பை இயக்குவதற்கு இயங்கக்கூடியது மாற்றப்பட்டது என்று தீர்மானிக்கப்பட்டது. Xctdoor என அழைக்கப்படும் இந்த DLL கோப்பு, கீஸ்ட்ரோக்குகள், ஸ்கிரீன்ஷாட்கள் மற்றும் கிளிப்போர்டு உள்ளடக்கங்கள் போன்ற கணினித் தகவலைப் பிடிக்கும் திறன்களைக் கொண்டுள்ளது மற்றும் தாக்குபவர் வழங்கிய கட்டளைகளை செயல்படுத்துகிறது.

Mersenne Twister (MT19937) மற்றும் Base64 அல்காரிதம்களைப் பயன்படுத்தி பாக்கெட் குறியாக்கத்துடன் HTTP மூலம் Xctdoor கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பு கொள்கிறது. இந்த தாக்குதலில் XcLoader என்ற மற்றொரு மால்வேர் மாறுபாடும் அடங்கும், இது Xctdoor ஐ 'explorer.exe' போன்ற முறையான செயல்முறைகளில் செலுத்த வடிவமைக்கப்பட்டுள்ளது. சமீபத்திய கண்டுபிடிப்புகள், குறைந்தபட்சம் மார்ச் 2024 முதல் XcLoader ஐ நிறுவ போதுமான அளவு பாதுகாக்கப்படாத வலை சேவையகங்கள் சமரசம் செய்யப்பட்ட நிகழ்வுகளைக் குறிப்பிடுகின்றன.

இதே செயல்முறை மற்ற மால்வேர் அச்சுறுத்தல்களால் தவறாகப் பயன்படுத்தப்படுகிறது

regsvr32.exe செயல்முறை வட கொரியாவுடன் இணைக்கப்பட்ட பிற பிரச்சாரங்களில் பயன்படுத்தப்பட்டது, குறிப்பாக Kimsuky APT குழுவால். ஹேப்பிடோர் என்ற பெயரிடப்படாத பின்கதவை அவர்கள் பயன்படுத்தியுள்ளனர், குறைந்தபட்சம் ஜூலை 2021 முதல் செயல்படும்.

இந்த தாக்குதல் காட்சிகள் பொதுவாக சுருக்கப்பட்ட கோப்பை விநியோகிக்கும் ஈட்டி-ஃபிஷிங் மின்னஞ்சல்களுடன் தொடங்கும். இந்தக் காப்பகத்திற்குள், ஒரு தெளிவற்ற ஜாவாஸ்கிரிப்ட் அல்லது துளிசொட்டி கண்டுபிடிக்கப்பட்டது, இது செயல்படுத்தப்பட்டவுடன், ஹேப்பிடோரை டெகோய் கோப்புடன் தொடங்குகிறது. ஹேப்பிடோர், regsvr32.exe மூலம் DLL கோப்பாக செயல்படுத்தப்பட்டு, HTTP வழியாக ரிமோட் சர்வருடன் தொடர்பை ஏற்படுத்துகிறது. அதன் செயல்பாடுகளில் தரவு திருட்டு, கோப்பு பதிவிறக்கம்/பதிவேற்ற திறன்கள் மற்றும் சுய-புதுப்பிப்பு மற்றும் செயல்முறைகளை நிறுத்தும் திறன் ஆகியவை அடங்கும்.

பின்கதவு நோய்த்தொற்றுகள் பாதிக்கப்பட்டவர்களுக்கு கடுமையான விளைவுகளை ஏற்படுத்தும்

பின்கதவு மால்வேர் நோய்த்தொற்றுகளால் பாதிக்கப்பட்டவர்கள் இந்த அச்சுறுத்தல்களின் திருட்டுத்தனமான மற்றும் தொடர்ச்சியான தன்மை காரணமாக கடுமையான விளைவுகளை சந்திக்க நேரிடும். இங்கே சில சாத்தியமான தாக்கங்கள் உள்ளன:

• தரவுத் திருட்டு : உள்நுழைவு சான்றுகள், நிதித் தரவு, அறிவுசார் சொத்து மற்றும் தனிப்பட்ட கோப்புகள் போன்ற தனிப்பட்ட தகவல்களைத் தாக்குபவர்கள் பெரும்பாலும் தாக்குபவர்களை அனுமதிக்கின்றனர். இந்த சேகரிக்கப்பட்ட தரவு நிதி ஆதாயத்திற்காக பயன்படுத்தப்படலாம் அல்லது மேலும் தாக்குதல்களில் பயன்படுத்தப்படலாம்.
• கண்காணிப்பு மற்றும் கண்காணிப்பு : கீஸ்ட்ரோக்குகள், ஸ்கிரீன்ஷாட்கள், வெப்கேம் ஊட்டங்கள் மற்றும் மைக்ரோஃபோன் உள்ளீடு உள்ளிட்ட பாதிக்கப்பட்டவரின் செயல்பாடுகளைக் கண்காணிக்கவும் கண்காணிக்கவும் தாக்குபவர்களுக்குக் கதவுகள் உதவும். தனியுரிமை மீதான இந்த படையெடுப்பு தனிப்பட்ட அல்லது பெருநிறுவன உளவுத்துறைக்கு வழிவகுக்கும்.
• அங்கீகரிக்கப்படாத அணுகல் : தாக்குபவர்கள் சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு நீண்டகால அங்கீகரிக்கப்படாத அணுகலைப் பெறலாம். இந்த அணுகல் அமைப்புகளை கையாளவும் அல்லது நாசப்படுத்தவும், செயல்பாடுகளை சீர்குலைக்கவும் அல்லது கூடுதல் தீம்பொருளை வரிசைப்படுத்தவும் பயன்படுத்தப்படலாம்.
• சிஸ்டம் சமரசம் : பின்கதவுகள் பெரும்பாலும் அமைப்பின் ஒட்டுமொத்த பாதுகாப்பு நிலையை பலவீனப்படுத்துகிறது, மேலும் இது மேலும் சுரண்டலுக்கு ஆளாகிறது. இது பிணையத்தில் உள்ள பிற இணைக்கப்பட்ட அமைப்புகள் அல்லது ஆதாரங்களின் சமரசத்திற்கு வழிவகுக்கும்.
• நிதி இழப்பு : நிதித் திருட்டு, வணிக வாய்ப்புகள் இழப்பு, சட்டப் பொறுப்புகள் மற்றும் பரிகாரம் மற்றும் மீட்பு முயற்சிகளுடன் தொடர்புடைய செலவுகள் ஆகியவற்றின் காரணமாக வணிகங்கள் நிதி இழப்புகளை சந்திக்க நேரிடும்.
• நற்பெயருக்கு சேதம் : நிறுவனங்களுக்கு, பின்கதவு தொற்று நற்பெயர் சேதம், வாடிக்கையாளர் நம்பிக்கை இழப்பு மற்றும் பிராண்ட் மதிப்பு குறைவதற்கு வழிவகுக்கும். இது வணிக உறவுகள் மற்றும் செயல்பாடுகளில் நீண்ட கால விளைவுகளை ஏற்படுத்தலாம்.
• செயல்பாட்டு சீர்குலைவு : கணினி செயலிழப்புகள், மந்தநிலைகள் அல்லது சேவை நிபந்தனைகளை மறுப்பதன் மூலம் கதவுகள் இயல்பான செயல்பாடுகளை சீர்குலைக்கும். இது வேலையில்லா நேரம், உற்பத்தித்திறன் இழப்பு மற்றும் சீர்குலைந்த சேவைகள் காரணமாக நிதி பாதிப்புகளை ஏற்படுத்தும்.
• ஒழுங்குமுறை மற்றும் இணக்கச் சிக்கல்கள் : சமரசம் செய்யப்பட்ட அமைப்புகள் தனியுரிமைச் சட்டங்கள் அல்லது தொழில்துறை விதிமுறைகளுக்கு உட்பட்டு முக்கியமான தரவைக் கையாண்டால், நிறுவனங்கள் ஒழுங்குமுறை அபராதம் மற்றும் சட்டரீதியான விளைவுகளை சந்திக்க நேரிடும்.
• கண்டறிதல் மற்றும் அகற்றுவதில் சிரமம் : மால்வேர் எதிர்ப்பு மென்பொருள் மற்றும் ஃபயர்வால்கள் போன்ற பாதுகாப்பு நடவடிக்கைகளால் கண்டறிதலைத் தவிர்ப்பதற்காக பின்கதவுகள் வடிவமைக்கப்பட்டுள்ளன. அவற்றைக் கண்டறிந்து முழுவதுமாக அகற்றுவது சவாலானது, சிறப்பு அறிவு மற்றும் கருவிகள் தேவை.
• நீண்ட கால பாதிப்பு : ஆரம்ப நிலை சரிசெய்த பிறகும், சமரசம் செய்யப்பட்ட அமைப்புகள் எதிர்கால தாக்குதல்கள் அல்லது உறுதியான தாக்குபவர்களின் தொடர்ச்சியான பின்கதவு மீண்டும் செயல்படுத்தும் முயற்சிகளால் பாதிக்கப்படலாம்.

ஒட்டுமொத்தமாக, பின்கதவு மால்வேர் நோய்த்தொற்றுகளின் விளைவுகள் கடுமையான மற்றும் பன்முகத்தன்மை கொண்டதாக இருக்கலாம், இது தனிநபர்கள் மற்றும் நிறுவனங்களை நிதி, செயல்பாட்டு மற்றும் நற்பெயருக்கு சேதம் விளைவிக்கும், அத்துடன் அவர்களின் தனியுரிமை மற்றும் பாதுகாப்பை சமரசம் செய்யும்.