Xctdoor Backdoor

Сервер оновлення південнокорейського постачальника ERP (Enterprise Resource Planning) було виявлено зламаним, розповсюджуючи бекдор на основі Go під назвою Xctdoor. Дослідники виявили цю атаку в травні 2024 року, і хоча вони не визначили конкретного суб’єкта загрози чи групу, вони відзначили схожість із тактикою, яку використовує Андаріель , підгрупа, пов’язана з сумнозвісною Групою Лазаря .

Ця тактика перегукується з минулими інцидентами за участю супротивника з Північної Кореї, який раніше використовував рішення ERP для поширення зловмисного програмного забезпечення, такого як HotCroissant (також відомого як Rifdoor ) у 2017 році. Це було досягнуто шляхом імплантації шкідливого коду в механізм оновлення програмного забезпечення.

Бекдор Xctdoor надає зловмисникам численні шкідливі можливості

Під час аналізу атаки було визначено, що виконуваний файл було змінено для запуску файлу DLL із певного шляху за допомогою процесу regsvr32.exe замість ініціювання завантажувача. Цей файл DLL, відомий як Xctdoor, має можливості для захоплення системної інформації, такої як натискання клавіш, знімки екрана та вміст буфера обміну, і виконання команд, виданих зловмисником.

Xctdoor спілкується з сервером командування та керування (C2) через HTTP з шифруванням пакетів із використанням алгоритмів Mersenne Twister (MT19937) і Base64. Атака також включає інший варіант зловмисного програмного забезпечення під назвою XcLoader, призначений для впровадження Xctdoor у законні процеси, такі як «explorer.exe». Останні дані вказують на випадки, коли неналежним чином захищені веб-сервери були скомпрометовані для встановлення XcLoader принаймні з березня 2024 року.

Той самий процес, яким зловживають інші загрози зловмисного програмного забезпечення

Процес regsvr32.exe використовувався в інших кампаніях, пов’язаних із Північною Кореєю, зокрема групою Kimsuky APT. Вони використовували нерозкритий бекдор під назвою HappyDoor, який працює принаймні з липня 2021 року.

Ці послідовності атак зазвичай починаються з фішингових електронних листів, які розповсюджують стиснений файл. У цьому архіві знайдено обфускований JavaScript або дроппер, який після виконання запускає HappyDoor разом із файлом-приманкою. HappyDoor, реалізований як файл DLL через regsvr32.exe, встановлює зв’язок із віддаленим сервером через HTTP. Його функції включають крадіжку даних, можливості завантаження/завантаження файлів, а також можливість самостійного оновлення та завершення процесів.

Інфекції через бекдор можуть мати серйозні наслідки для жертв

Жертви бекдорного зараження шкідливим програмним забезпеченням можуть зіткнутися з серйозними наслідками через прихований і постійний характер цих загроз. Ось деякі потенційні наслідки:

• Крадіжка даних : бекдори часто дозволяють зловмисникам отримати особисту інформацію, таку як облікові дані для входу, фінансові дані, інтелектуальну власність і особисті файли. Ці зібрані дані можуть бути використані для фінансової вигоди або використані для подальших атак.
• Спостереження та моніторинг : бекдори можуть дозволити зловмисникам контролювати та стежити за діяльністю жертви, включаючи натискання клавіш, знімки екрана, канали веб-камери та вхід із мікрофона. Це вторгнення в приватне життя може призвести до особистого або корпоративного шпигунства.
• Неавторизований доступ : зловмисники можуть отримати тривалий неавторизований доступ до скомпрометованих систем. Цей доступ можна використовувати для маніпулювання або саботування систем, зриву операцій або навіть розгортання додаткових шкідливих програм.
• Компрометація системи : бекдори часто послаблюють загальну безпеку системи, роблячи її вразливою для подальшої експлуатації. Це може призвести до зламу інших підключених систем або ресурсів у мережі.
• Фінансові збитки : підприємства можуть зазнати фінансових збитків через крадіжку коштів, втрату бізнес-можливостей, юридичні зобов’язання та витрати, пов’язані з відновленням та відновленням.
• Пошкодження репутації : для організацій бекдор-інфекція може призвести до погіршення репутації, втрати довіри клієнтів і зниження вартості бренду. Це може мати довгострокові наслідки для ділових відносин і операцій.
• Порушення роботи : бекдори можуть порушити нормальну роботу, спричинивши збої системи, уповільнення або відмову в обслуговуванні. Це може призвести до простою, втрати продуктивності та фінансових наслідків через перебої в роботі послуг.
• Проблеми з регулюванням і відповідністю : організації можуть зіткнутися з регулятивними штрафами та юридичними наслідками, якщо скомпрометовані системи обробляють конфіденційні дані відповідно до законів про конфіденційність або галузевих норм.
• Труднощі з виявленням і видаленням : бекдори створені, щоб уникнути виявлення за допомогою заходів безпеки, таких як програмне забезпечення для захисту від зловмисного програмного забезпечення та брандмауери. Виявлення та повне їх видалення може бути складним завданням, що вимагає спеціальних знань та інструментів.
• Довгострокова вразливість : навіть після початкового виправлення зламані системи можуть залишатися вразливими до майбутніх атак або постійних спроб повторної активації бекдорів з боку рішучих зловмисників.

Загалом наслідки зараження зловмисним програмним забезпеченням через бекдор можуть бути серйозними та багатогранними, впливаючи як на окремих осіб, так і на організації з точки зору фінансової, операційної та репутаційної шкоди, а також під загрозою їх конфіденційності та безпеки.