Xctdoor బ్యాక్‌డోర్

ఒక దక్షిణ కొరియా ERP (ఎంటర్‌ప్రైజ్ రిసోర్స్ ప్లానింగ్) విక్రేత యొక్క నవీకరణ సర్వర్ రాజీపడినట్లు కనుగొనబడింది, Xctdoor పేరుతో గో-ఆధారిత బ్యాక్‌డోర్‌ను పంపిణీ చేసింది. పరిశోధకులు మే 2024లో ఈ దాడిని కనుగొన్నారు మరియు వారు నిర్దిష్ట ముప్పు నటుడు లేదా సమూహాన్ని గుర్తించనప్పటికీ, అపఖ్యాతి పాలైన లాజరస్ గ్రూప్‌తో అనుబంధించబడిన ఉప సమూహం అయిన Andariel ఉపయోగించిన వ్యూహాలతో సారూప్యతలను వారు గుర్తించారు.

ఈ వ్యూహాలు 2017లో HotCroissant ( Rifdoor అని కూడా పిలుస్తారు) వంటి మాల్వేర్‌లను వ్యాప్తి చేయడానికి ERP పరిష్కారాన్ని ఉపయోగించుకున్న ఉత్తర కొరియా విరోధికి సంబంధించిన గత సంఘటనలను ప్రతిధ్వనిస్తాయి. సాఫ్ట్‌వేర్ అప్‌డేట్ మెకానిజంలో హానికరమైన కోడ్‌ని అమర్చడం ద్వారా ఇది సాధించబడింది.

Xctdoor బ్యాక్‌డోర్ దాడి చేసేవారికి అనేక హానికరమైన సామర్థ్యాలను అందిస్తుంది

దాడి విశ్లేషణ సమయంలో, డౌన్‌లోడ్‌ను ప్రారంభించే బదులు regsvr32.exe ప్రాసెస్‌ని ఉపయోగించి నిర్దిష్ట మార్గం నుండి DLL ఫైల్‌ను అమలు చేయడానికి ఎక్జిక్యూటబుల్ మార్చబడిందని నిర్ధారించబడింది. Xctdoor అని పిలువబడే ఈ DLL ఫైల్, కీస్ట్రోక్‌లు, స్క్రీన్‌షాట్‌లు మరియు క్లిప్‌బోర్డ్ విషయాల వంటి సిస్టమ్ సమాచారాన్ని సంగ్రహించడానికి మరియు దాడి చేసేవారు జారీ చేసిన ఆదేశాలను అమలు చేయడానికి సామర్థ్యాలను కలిగి ఉంటుంది.

Xctdoor Mersenne Twister (MT19937) మరియు Base64 అల్గారిథమ్‌లను ఉపయోగించి ప్యాకెట్ ఎన్‌క్రిప్షన్‌తో HTTP ద్వారా కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేట్ చేస్తుంది. దాడిలో XcLoader అనే మరో మాల్వేర్ వేరియంట్ కూడా ఉంది, ఇది Xctdoorని 'explorer.exe' వంటి చట్టబద్ధమైన ప్రక్రియలలోకి ప్రవేశపెట్టడానికి రూపొందించబడింది. కనీసం మార్చి 2024 నుండి XcLoaderని ఇన్‌స్టాల్ చేయడానికి సరిపడా భద్రత లేని వెబ్ సర్వర్‌లు రాజీపడిన సందర్భాలను ఇటీవలి పరిశోధనలు సూచిస్తున్నాయి.

ఇతర మాల్వేర్ బెదిరింపుల ద్వారా అదే ప్రక్రియ దుర్వినియోగం చేయబడింది

regsvr32.exe ప్రక్రియ ఉత్తర కొరియాకు అనుసంధానించబడిన ఇతర ప్రచారాలలో ముఖ్యంగా కిమ్సుకీ APT సమూహం ద్వారా ఉపయోగించబడింది. వారు కనీసం జూలై 2021 నుండి పనిచేస్తున్న హ్యాపీడోర్ అనే పేరులేని బ్యాక్‌డోర్‌ను ఉపయోగించారు.

ఈ దాడి సన్నివేశాలు సాధారణంగా కంప్రెస్డ్ ఫైల్‌ను పంపిణీ చేసే స్పియర్-ఫిషింగ్ ఇమెయిల్‌లతో ప్రారంభమవుతాయి. ఈ ఆర్కైవ్‌లో, అస్పష్టమైన జావాస్క్రిప్ట్ లేదా డ్రాపర్ కనుగొనబడింది, ఇది అమలు చేయబడిన తర్వాత, హ్యాపీడోర్‌ను డెకోయ్ ఫైల్‌తో పాటుగా ప్రారంభిస్తుంది. హ్యాపీడోర్, regsvr32.exe ద్వారా DLL ఫైల్‌గా అమలు చేయబడుతుంది, HTTP ద్వారా రిమోట్ సర్వర్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది. దీని కార్యాచరణలలో డేటా చౌర్యం, ఫైల్ డౌన్‌లోడ్/అప్‌లోడ్ సామర్థ్యాలు మరియు ప్రక్రియలను స్వీయ-నవీకరణ మరియు ముగించే సామర్థ్యం ఉన్నాయి.

బ్యాక్‌డోర్ ఇన్‌ఫెక్షన్‌లు బాధితులకు తీవ్రమైన పరిణామాలను కలిగిస్తాయి

బ్యాక్‌డోర్ మాల్వేర్ ఇన్‌ఫెక్షన్‌ల బాధితులు ఈ బెదిరింపుల యొక్క రహస్య మరియు నిరంతర స్వభావం కారణంగా తీవ్రమైన పరిణామాలను ఎదుర్కోవచ్చు. ఇక్కడ కొన్ని సంభావ్య ప్రభావాలు ఉన్నాయి:

• డేటా థెఫ్ట్ : బ్యాక్‌డోర్‌లు తరచుగా దాడి చేసేవారిని లాగిన్ ఆధారాలు, ఆర్థిక డేటా, మేధో సంపత్తి మరియు వ్యక్తిగత ఫైల్‌లు వంటి ప్రైవేట్ సమాచారాన్ని సేకరించేందుకు అనుమతిస్తాయి. ఈ సేకరించిన డేటాను ఆర్థిక లాభం కోసం ఉపయోగించుకోవచ్చు లేదా తదుపరి దాడులకు ఉపయోగించవచ్చు.
• నిఘా మరియు పర్యవేక్షణ : బ్యాక్‌డోర్‌లు కీస్ట్రోక్‌లు, స్క్రీన్‌షాట్‌లు, వెబ్‌క్యామ్ ఫీడ్‌లు మరియు మైక్రోఫోన్ ఇన్‌పుట్‌తో సహా బాధితుడి కార్యకలాపాలను పర్యవేక్షించడానికి మరియు పర్యవేక్షించడానికి దాడి చేసేవారిని ఎనేబుల్ చేయవచ్చు. గోప్యతపై ఈ దాడి వ్యక్తిగత లేదా కార్పొరేట్ గూఢచర్యానికి దారి తీస్తుంది.
• అనధికార ప్రాప్యత : దాడి చేసేవారు రాజీపడిన సిస్టమ్‌లకు సుదీర్ఘ అనధికార ప్రాప్యతను పొందవచ్చు. ఈ యాక్సెస్ సిస్టమ్‌లను మార్చడానికి లేదా నాశనం చేయడానికి, కార్యకలాపాలకు అంతరాయం కలిగించడానికి లేదా అదనపు మాల్వేర్‌ను అమలు చేయడానికి కూడా ఉపయోగించబడుతుంది.
• సిస్టమ్ రాజీ : బ్యాక్‌డోర్‌లు తరచుగా సిస్టమ్ యొక్క మొత్తం భద్రతా భంగిమను బలహీనపరుస్తాయి, ఇది మరింత దోపిడీకి గురవుతుంది. ఇది నెట్‌వర్క్‌లోని ఇతర కనెక్ట్ చేయబడిన సిస్టమ్‌లు లేదా వనరుల రాజీకి దారి తీస్తుంది.
• ఆర్థిక నష్టం : నిధుల దొంగతనం, వ్యాపార అవకాశాల నష్టం, చట్టపరమైన బాధ్యతలు మరియు పరిహారం మరియు పునరుద్ధరణ ప్రయత్నాలకు సంబంధించిన ఖర్చుల కారణంగా వ్యాపారాలు ఆర్థిక నష్టాలను చవిచూడవచ్చు.
• ప్రతిష్టకు నష్టం : సంస్థల కోసం, బ్యాక్‌డోర్ ఇన్‌ఫెక్షన్ ప్రతిష్ట దెబ్బతినడానికి, కస్టమర్ నమ్మకాన్ని కోల్పోవడానికి మరియు తగ్గిన బ్రాండ్ విలువకు దారితీస్తుంది. ఇది వ్యాపార సంబంధాలు మరియు కార్యకలాపాలపై దీర్ఘకాలిక పరిణామాలను కలిగిస్తుంది.
• కార్యాచరణ అంతరాయం : బ్యాక్‌డోర్‌లు సిస్టమ్ క్రాష్‌లు, స్లోడౌన్‌లు లేదా సర్వీస్ పరిస్థితులను తిరస్కరించడం ద్వారా సాధారణ కార్యకలాపాలకు అంతరాయం కలిగిస్తాయి. ఇది పనికిరాని సమయం, ఉత్పాదకత కోల్పోవడం మరియు అంతరాయం కలిగించిన సేవల కారణంగా ఆర్థిక ప్రభావాలకు దారితీయవచ్చు.
• నియంత్రణ మరియు వర్తింపు సమస్యలు : రాజీపడిన సిస్టమ్‌లు గోప్యతా చట్టాలు లేదా పరిశ్రమ నిబంధనలకు లోబడి సున్నితమైన డేటాను నిర్వహిస్తే, సంస్థలు నియంత్రణ జరిమానాలు మరియు చట్టపరమైన పరిణామాలను ఎదుర్కోవచ్చు.
• డిటెక్షన్ మరియు రిమూవల్‌లో ఇబ్బంది : యాంటీ మాల్వేర్ సాఫ్ట్‌వేర్ మరియు ఫైర్‌వాల్‌ల వంటి భద్రతా చర్యల ద్వారా గుర్తించకుండా తప్పించుకోవడానికి బ్యాక్‌డోర్లు రూపొందించబడ్డాయి. వాటిని గుర్తించడం మరియు పూర్తిగా తొలగించడం సవాలుగా ఉంటుంది, ప్రత్యేక జ్ఞానం మరియు సాధనాలు అవసరం.
• దీర్ఘ-కాల దుర్బలత్వం : ప్రారంభ నివారణ తర్వాత కూడా, రాజీపడిన సిస్టమ్‌లు భవిష్యత్తులో జరిగే దాడులకు లేదా నిశ్చయించబడిన దాడి చేసే వారి బ్యాక్‌డోర్‌ను తిరిగి క్రియాశీలం చేసే ప్రయత్నాలకు హాని కలిగి ఉండవచ్చు.

మొత్తంమీద, బ్యాక్‌డోర్ మాల్వేర్ ఇన్‌ఫెక్షన్‌ల పర్యవసానాలు తీవ్రంగా మరియు బహుముఖంగా ఉంటాయి, ఆర్థిక, కార్యాచరణ మరియు ప్రతిష్టకు నష్టం వాటిల్లడంతోపాటు వారి గోప్యత మరియు భద్రతపై రాజీపడేలా వ్యక్తులు మరియు సంస్థలపై ప్రభావం చూపుతాయి.