Xctdoor แบ็คดอร์

เซิร์ฟเวอร์อัพเดตของผู้จำหน่าย ERP ของเกาหลีใต้ (การวางแผนทรัพยากรองค์กร) ถูกค้นพบว่าถูกบุกรุก โดยเผยแพร่แบ็คดอร์ Go-based ชื่อ Xctdoor นักวิจัยค้นพบการโจมตีนี้ในเดือนพฤษภาคม พ.ศ. 2567 และแม้ว่าจะไม่ได้ระบุตัวแสดงหรือกลุ่มภัยคุกคามที่เฉพาะเจาะจง แต่พวกเขาสังเกตเห็นความคล้ายคลึงกับกลยุทธ์ที่ Andariel ใช้ ซึ่งเป็นกลุ่มย่อยที่เชื่อมโยงกับ Lazarus Group ที่โด่งดัง

กลยุทธ์เหล่านี้สะท้อนถึงเหตุการณ์ในอดีตที่เกี่ยวข้องกับฝ่ายตรงข้ามของเกาหลีเหนือ ซึ่งก่อนหน้านี้ใช้ประโยชน์จากโซลูชัน ERP เพื่อเผยแพร่มัลแวร์ เช่น HotCroissant (หรือที่รู้จักในชื่อ Rifdoor ) ในปี 2560 ซึ่งทำได้โดยการปลูกฝังโค้ดที่เป็นอันตรายลงในกลไกการอัปเดตซอฟต์แวร์

Xctdoor Backdoor ช่วยให้ผู้โจมตีมีความสามารถที่เป็นอันตรายมากมาย

ในระหว่างการวิเคราะห์การโจมตี พบว่าไฟล์ปฏิบัติการได้รับการเปลี่ยนแปลงให้เรียกใช้ไฟล์ DLL จากเส้นทางเฉพาะโดยใช้กระบวนการ regsvr32.exe แทนที่จะเริ่มตัวดาวน์โหลด ไฟล์ DLL นี้เรียกว่า Xctdoor มีความสามารถในการรวบรวมข้อมูลระบบ เช่น การกดแป้นพิมพ์ ภาพหน้าจอ และเนื้อหาในคลิปบอร์ด และดำเนินการคำสั่งที่ออกโดยผู้โจมตี

Xctdoor สื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ผ่าน HTTP ด้วยการเข้ารหัสแพ็กเก็ตโดยใช้ Mersenne Twister (MT19937) และอัลกอริธึม Base64 การโจมตียังเกี่ยวข้องกับมัลแวร์อีกตัวหนึ่งชื่อ XcLoader ซึ่งออกแบบมาเพื่อแทรก Xctdoor เข้าสู่กระบวนการที่ถูกต้องตามกฎหมาย เช่น 'explorer.exe' การค้นพบล่าสุดระบุว่ามีกรณีที่เว็บเซิร์ฟเวอร์ที่มีการรักษาความปลอดภัยไม่เพียงพอถูกโจมตีเพื่อติดตั้ง XcLoader ตั้งแต่อย่างน้อยเดือนมีนาคม 2024

กระบวนการเดียวกันที่ถูกละเมิดโดยภัยคุกคามมัลแวร์อื่นๆ

กระบวนการ regsvr32.exe ถูกใช้ในแคมเปญอื่นๆ ที่เชื่อมโยงกับเกาหลีเหนือ โดยเฉพาะกลุ่ม Kimsuky APT พวกเขาใช้แบ็คดอร์ที่ไม่เปิดเผยชื่อว่า HappyDoor ซึ่งเปิดใช้งานตั้งแต่อย่างน้อยเดือนกรกฎาคม 2564

ลำดับการโจมตีเหล่านี้มักเริ่มต้นด้วยอีเมลฟิชชิ่งแบบกระจายไฟล์บีบอัด ภายในไฟล์เก็บถาวรนี้ พบ JavaScript หรือ dropper ที่สับสน ซึ่งเมื่อดำเนินการจะเปิด HappyDoor ควบคู่ไปกับไฟล์ล่อ HappyDoor ซึ่งใช้งานเป็นไฟล์ DLL ผ่าน regsvr32.exe สร้างการสื่อสารกับเซิร์ฟเวอร์ระยะไกลผ่าน HTTP ฟังก์ชันการทำงานประกอบด้วยการขโมยข้อมูล ความสามารถในการดาวน์โหลด/อัพโหลดไฟล์ และความสามารถในการอัปเดตและยุติกระบวนการด้วยตนเอง

การติดเชื้อลับๆ อาจส่งผลร้ายแรงต่อผู้ที่ตกเป็นเหยื่อ

ผู้ที่ตกเป็นเหยื่อของการติดมัลแวร์แบ็คดอร์อาจเผชิญกับผลกระทบร้ายแรงเนื่องจากภัยคุกคามเหล่านี้มีลักษณะที่ซ่อนเร้นและต่อเนื่อง ต่อไปนี้คือผลกระทบที่อาจเกิดขึ้น:

• การโจรกรรมข้อมูล : แบ็คดอร์มักอนุญาตให้ผู้โจมตีรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลการเข้าสู่ระบบ ข้อมูลทางการเงิน ทรัพย์สินทางปัญญา และไฟล์ส่วนบุคคล ข้อมูลที่รวบรวมนี้สามารถนำไปใช้ประโยชน์ทางการเงินหรือใช้ในการโจมตีเพิ่มเติมได้
• การเฝ้าระวังและการเฝ้าติดตาม : แบ็คดอร์อาจช่วยให้ผู้โจมตีสามารถตรวจสอบและตรวจตรากิจกรรมของเหยื่อได้ รวมถึงการกดแป้นพิมพ์ ภาพหน้าจอ ฟีดเว็บแคม และอินพุตไมโครโฟน การบุกรุกความเป็นส่วนตัวนี้อาจนำไปสู่การจารกรรมส่วนบุคคลหรือองค์กร
• การเข้าถึงที่ไม่ได้รับอนุญาต : ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกโดยไม่ได้รับอนุญาตเป็นเวลานาน การเข้าถึงนี้สามารถใช้เพื่อจัดการหรือทำลายระบบ ขัดขวางการดำเนินงาน หรือแม้แต่ปรับใช้มัลแวร์เพิ่มเติม
• การประนีประนอมของระบบ : แบ็คดอร์มักจะทำให้สถานะการรักษาความปลอดภัยโดยรวมของระบบอ่อนแอลง ทำให้เสี่ยงต่อการถูกโจมตีเพิ่มเติม ซึ่งอาจนำไปสู่การประนีประนอมของระบบหรือทรัพยากรที่เชื่อมต่ออื่นๆ ภายในเครือข่าย
• การสูญเสียทางการเงิน : ธุรกิจอาจประสบกับความสูญเสียทางการเงินเนื่องจากการขโมยเงินทุน การสูญเสียโอกาสทางธุรกิจ ความรับผิดทางกฎหมาย และต้นทุนที่เกี่ยวข้องกับความพยายามในการแก้ไขและฟื้นฟู
• ความเสียหายต่อชื่อเสียง : สำหรับองค์กร การติดไวรัสลับๆ อาจนำไปสู่ความเสียหายต่อชื่อเสียง สูญเสียความไว้วางใจจากลูกค้า และมูลค่าแบรนด์ลดลง ซึ่งอาจส่งผลระยะยาวต่อความสัมพันธ์ทางธุรกิจและการดำเนินธุรกิจ
• การหยุดชะงักในการปฏิบัติงาน : แบ็คดอร์สามารถรบกวนการทำงานปกติโดยทำให้ระบบล่ม การชะลอตัว หรือการปฏิเสธเงื่อนไขการบริการ ซึ่งอาจส่งผลให้เกิดการหยุดทำงาน สูญเสียความสามารถในการผลิต และผลกระทบทางการเงินอันเนื่องมาจากบริการหยุดชะงัก
• ปัญหาด้านกฎระเบียบและการปฏิบัติตามกฎระเบียบ : องค์กรอาจต้องเผชิญกับค่าปรับตามกฎระเบียบและผลทางกฎหมาย หากระบบที่ถูกบุกรุกจัดการกับข้อมูลที่ละเอียดอ่อนภายใต้กฎหมายความเป็นส่วนตัวหรือข้อบังคับของอุตสาหกรรม
• ความยากในการตรวจจับและการกำจัด : แบ็คดอร์ได้รับการออกแบบให้หลบเลี่ยงการตรวจจับด้วยมาตรการรักษาความปลอดภัย เช่น ซอฟต์แวร์ป้องกันมัลแวร์และไฟร์วอลล์ การตรวจจับและการลบออกทั้งหมดอาจเป็นเรื่องที่ท้าทาย โดยต้องใช้ความรู้และเครื่องมือเฉพาะทาง
• ช่องโหว่ระยะยาว : แม้หลังจากการแก้ไขเบื้องต้นแล้ว ระบบที่ถูกบุกรุกอาจยังคงเสี่ยงต่อการโจมตีในอนาคตหรือความพยายามเปิดใช้งานแบ็คดอร์อีกครั้งโดยผู้โจมตีที่กำหนด

โดยรวมแล้ว ผลที่ตามมาของการติดมัลแวร์แบ็คดอร์อาจมีความรุนแรงและหลากหลายแง่มุม ส่งผลกระทบต่อทั้งบุคคลและองค์กรในแง่ของความเสียหายทางการเงิน การปฏิบัติงาน และชื่อเสียง รวมถึงกระทบต่อความเป็นส่วนตัวและความปลอดภัยของพวกเขา