Xctdoor Backdoor

Natuklasan na nakompromiso ang server ng pag-update ng vendor ng ERP (Enterprise Resource Planning) sa South Korea, na namamahagi ng backdoor na nakabase sa Go na pinangalanang Xctdoor. Natuklasan ng mga mananaliksik ang pag-atakeng ito noong Mayo 2024, at bagama't hindi nila tinukoy ang isang partikular na aktor o grupo ng pagbabanta, napansin nila ang mga pagkakatulad sa mga taktika na ginamit ni Andariel , isang subgroup na naka-link sa kilalang Lazarus Group .

Ang mga taktika na ito ay sumasalamin sa mga nakaraang insidente na kinasasangkutan ng kalaban ng North Korea, na dating pinagsamantalahan ang solusyon sa ERP upang ipalaganap ang malware gaya ng HotCroissant (kilala rin bilang Rifdoor ) noong 2017. Naabot ito sa pamamagitan ng pagtatanim ng malisyosong code sa isang mekanismo ng pag-update ng software.

Ang Xctdoor Backdoor ay Nagbibigay sa Mga Attacker ng Maraming Nakakapinsalang Kakayahan

Sa panahon ng pagsusuri sa pag-atake, natukoy na ang executable ay binago upang magpatakbo ng isang DLL file mula sa isang partikular na landas gamit ang regsvr32.exe na proseso sa halip na simulan ang isang downloader. Ang DLL file na ito, na kilala bilang Xctdoor, ay nagtataglay ng mga kakayahan para sa pagkuha ng impormasyon ng system tulad ng mga keystroke, mga screenshot at nilalaman ng clipboard, at pagpapatupad ng mga utos na ibinigay ng umaatake.

Nakikipag-ugnayan ang Xctdoor sa isang Command-and-Control (C2) server sa HTTP, na may packet encryption na gumagamit ng Mersenne Twister (MT19937) at Base64 algorithm. Ang pag-atake ay nagsasangkot din ng isa pang variant ng malware na pinangalanang XcLoader, na idinisenyo upang mag-inject ng Xctdoor sa mga lehitimong proseso tulad ng 'explorer.exe.' Isinasaad ng mga kamakailang natuklasan ang mga pagkakataon kung saan nakompromiso ang hindi sapat na secure na mga Web server upang i-install ang XcLoader mula noong Marso 2024 man lang.

Ang Parehong Proseso na Inaabuso ng Iba Pang Mga Banta sa Malware

Ang proseso ng regsvr32.exe ay pinagsamantalahan sa iba pang mga kampanyang naka-link sa North Korea, lalo na ng grupong Kimsuky APT. Gumamit sila ng hindi ibinunyag na backdoor na pinangalanang HappyDoor, na nagpapatakbo mula pa noong Hulyo 2021.

Ang mga pagkakasunud-sunod ng pag-atake na ito ay karaniwang nagsisimula sa mga spear-phishing na email na namamahagi ng isang naka-compress na file. Sa loob ng archive na ito, may nakitang obfuscated na JavaScript o dropper, na, kapag naisakatuparan, naglulunsad ng HappyDoor kasama ng isang decoy file. Ang HappyDoor, na ipinatupad bilang isang DLL file sa pamamagitan ng regsvr32.exe, ay nagtatatag ng komunikasyon sa isang malayuang server sa pamamagitan ng HTTP. Kasama sa mga functionality nito ang pagnanakaw ng data, mga kakayahan sa pag-download/pag-upload ng file, at ang kakayahang mag-self-update at wakasan ang mga proseso.

Maaaring Magkaroon ng Matinding Bunga ang mga Impeksyon sa Backdoor para sa mga Biktima

Ang mga biktima ng mga impeksyon sa backdoor na malware ay maaaring makaharap ng matitinding kahihinatnan dahil sa palihim at patuloy na katangian ng mga banta na ito. Narito ang ilang potensyal na epekto:

• Pagnanakaw ng Data : Madalas na pinapayagan ng mga backdoor ang mga umaatake na kumuha ng pribadong impormasyon tulad ng mga kredensyal sa pag-log in, data sa pananalapi, intelektwal na ari-arian at mga personal na file. Ang nakolektang data na ito ay maaaring samantalahin para sa pinansiyal na pakinabang o gamitin sa karagdagang pag-atake.
• Pagsubaybay at Pagsubaybay : Maaaring bigyang-daan ng mga backdoor ang mga umaatake na subaybayan at subaybayan ang mga aktibidad ng biktima, kabilang ang mga keystroke, screenshot, webcam feed at microphone input. Ang pagsalakay na ito sa privacy ay maaaring humantong sa personal o corporate espionage.
• Hindi Pinahintulutang Pag-access : Ang mga umaatake ay maaaring makakuha ng matagal na hindi awtorisadong pag-access sa mga nakompromisong system. Maaaring gamitin ang access na ito upang manipulahin o sabotahe ang mga system, guluhin ang mga operasyon o kahit na mag-deploy ng karagdagang malware.
• System Compromise : Ang mga backdoor ay madalas na nagpapahina sa pangkalahatang postura ng seguridad ng system, na ginagawa itong mahina sa karagdagang pagsasamantala. Maaari itong humantong sa kompromiso ng iba pang konektadong mga system o mapagkukunan sa loob ng network.
• Pagkalugi sa Pinansyal : Maaaring magdusa ang mga negosyo ng mga pagkalugi sa pananalapi dahil sa pagnanakaw ng mga pondo, pagkawala ng mga pagkakataon sa negosyo, mga legal na pananagutan at mga gastos na nauugnay sa mga pagsisikap sa remediation at pagbawi.
• Pinsala sa Reputasyon : Para sa mga organisasyon, ang impeksyon sa backdoor ay maaaring humantong sa pagkasira ng reputasyon, pagkawala ng tiwala ng customer, at pagbaba ng halaga ng tatak. Ito ay maaaring magkaroon ng pangmatagalang kahihinatnan sa mga relasyon at pagpapatakbo ng negosyo.
• Pagkagambala sa Operasyon : Ang mga backdoor ay maaaring makagambala sa mga normal na operasyon sa pamamagitan ng pagdudulot ng mga pag-crash ng system, pagbagal o pagtanggi sa mga kundisyon ng serbisyo. Maaari itong magresulta sa downtime, pagkawala ng produktibidad at mga epekto sa pananalapi dahil sa mga nagambalang serbisyo.
• Mga Isyu sa Regulasyon at Pagsunod : Maaaring maharap ang mga organisasyon sa mga multa sa regulasyon at legal na kahihinatnan kung ang mga nakompromisong system ay humahawak ng sensitibong data na napapailalim sa mga batas sa privacy o mga regulasyon sa industriya.
• Pinagkakahirapan sa Pagtukoy at Pag-alis : Ang mga backdoor ay idinisenyo upang maiwasan ang pagtuklas sa pamamagitan ng mga hakbang sa seguridad tulad ng anti-malware software at mga firewall. Ang pagtuklas at pag-alis ng mga ito ay maaaring maging mahirap, na nangangailangan ng espesyal na kaalaman at mga tool.
• Pangmatagalang Vulnerability : Kahit na pagkatapos ng paunang remediation, ang mga nakompromisong system ay maaaring manatiling mahina sa mga pag-atake sa hinaharap o patuloy na mga pagtatangka sa backdoor reactivation ng mga determinadong umaatake.

Sa pangkalahatan, ang mga kahihinatnan ng mga impeksyon sa backdoor na malware ay maaaring maging malubha at maraming aspeto, na nakakaapekto sa parehong mga indibidwal at organisasyon sa mga tuntunin ng pinsala sa pananalapi, pagpapatakbo, at reputasyon, pati na rin ang pagkompromiso sa kanilang privacy at seguridad.