Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Backdoors Cửa sau Xctdoor

Cửa sau Xctdoor

Đến năm Mezo năm Backdoors, Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Máy chủ cập nhật của nhà cung cấp ERP (Kế hoạch nguồn lực doanh nghiệp) của Hàn Quốc bị phát hiện bị xâm nhập, phân phối một cửa hậu dựa trên Go có tên Xctdoor. Các nhà nghiên cứu đã phát hiện ra cuộc tấn công này vào tháng 5 năm 2024 và mặc dù không xác định được tác nhân hoặc nhóm đe dọa cụ thể nhưng họ lưu ý những điểm tương đồng với các chiến thuật được sử dụng bởi Andariel , một nhóm nhỏ có liên kết với Nhóm Lazarus khét tiếng.

Những chiến thuật này lặp lại các sự cố trong quá khứ liên quan đến đối thủ Triều Tiên, kẻ trước đây đã khai thác giải pháp ERP để phát tán phần mềm độc hại như HotCroissant (còn được gọi là Rifdoor ) vào năm 2017. Điều này đạt được bằng cách cấy mã độc vào cơ chế cập nhật phần mềm.

Cửa hậu Xctdoor cung cấp cho kẻ tấn công vô số khả năng gây hại

Trong quá trình phân tích cuộc tấn công, người ta xác định rằng tệp thực thi đã bị thay đổi để chạy tệp DLL từ một đường dẫn cụ thể bằng quy trình regsvr32.exe thay vì khởi chạy trình tải xuống. Tệp DLL này, được gọi là Xctdoor, có khả năng thu thập thông tin hệ thống như tổ hợp phím, ảnh chụp màn hình và nội dung clipboard cũng như thực thi các lệnh do kẻ tấn công đưa ra.

Xctdoor giao tiếp với máy chủ Command-and-Control (C2) qua HTTP, với mã hóa gói sử dụng thuật toán Mersenne Twister (MT19937) và Base64. Cuộc tấn công cũng liên quan đến một biến thể phần mềm độc hại khác có tên XcLoader, được thiết kế để đưa Xctdoor vào các quy trình hợp pháp như 'explorer.exe'. Những phát hiện gần đây cho thấy các trường hợp máy chủ Web không được bảo mật đầy đủ đã bị xâm phạm để cài đặt XcLoader kể từ ít nhất là tháng 3 năm 2024.

Quy trình tương tự bị lạm dụng bởi các mối đe dọa phần mềm độc hại khác

Quy trình regsvr32.exe đã bị khai thác trong các chiến dịch khác có liên quan đến Triều Tiên, đặc biệt là bởi nhóm Kimsuky APT. Họ đã sử dụng một cửa hậu không được tiết lộ có tên HappyDoor, hoạt động ít nhất từ tháng 7 năm 2021.

Các chuỗi tấn công này thường bắt đầu bằng các email lừa đảo trực tuyến phân phối một tệp nén. Trong kho lưu trữ này, một JavaScript hoặc trình nhỏ giọt bị xáo trộn được tìm thấy, khi thực thi sẽ khởi chạy HappyDoor cùng với một tệp mồi. HappyDoor, được triển khai dưới dạng tệp DLL thông qua regsvr32.exe, thiết lập liên lạc với máy chủ từ xa qua HTTP. Các chức năng của nó bao gồm đánh cắp dữ liệu, khả năng tải xuống/tải lên tệp cũng như khả năng tự cập nhật và chấm dứt các quy trình.

Nhiễm trùng cửa sau có thể gây hậu quả nghiêm trọng cho nạn nhân

Nạn nhân của việc lây nhiễm phần mềm độc hại cửa sau có thể phải đối mặt với những hậu quả nghiêm trọng do tính chất lén lút và dai dẳng của những mối đe dọa này. Dưới đây là một số tác động tiềm ẩn:

  • Trộm cắp dữ liệu : Backdoor thường cho phép kẻ tấn công thu thập thông tin cá nhân như thông tin đăng nhập, dữ liệu tài chính, sở hữu trí tuệ và tệp cá nhân. Dữ liệu được thu thập này có thể bị khai thác để thu lợi tài chính hoặc được sử dụng trong các cuộc tấn công tiếp theo.
  • Giám sát và giám sát : Cửa sau có thể cho phép kẻ tấn công theo dõi và giám sát các hoạt động của nạn nhân, bao gồm thao tác gõ phím, chụp ảnh màn hình, nguồn cấp dữ liệu webcam và đầu vào micrô. Sự xâm phạm quyền riêng tư này có thể dẫn đến hoạt động gián điệp cá nhân hoặc doanh nghiệp.
  • Truy cập trái phép : Kẻ tấn công có thể có được quyền truy cập trái phép kéo dài vào các hệ thống bị xâm nhập. Quyền truy cập này có thể được sử dụng để thao túng hoặc phá hoại hệ thống, làm gián đoạn hoạt động hoặc thậm chí triển khai thêm phần mềm độc hại.
  • Xâm phạm hệ thống : Backdoor thường làm suy yếu tình hình bảo mật tổng thể của hệ thống, khiến hệ thống dễ bị khai thác thêm. Điều này có thể dẫn đến sự xâm phạm các hệ thống hoặc tài nguyên được kết nối khác trong mạng.
  • Tổn thất tài chính : Doanh nghiệp có thể bị tổn thất tài chính do bị đánh cắp tiền, mất cơ hội kinh doanh, trách nhiệm pháp lý và chi phí liên quan đến nỗ lực khắc phục và phục hồi.
  • Thiệt hại về danh tiếng : Đối với các tổ chức, việc lây nhiễm cửa sau có thể dẫn đến thiệt hại về danh tiếng, mất niềm tin của khách hàng và giảm giá trị thương hiệu. Điều này có thể gây ra hậu quả lâu dài đối với các mối quan hệ và hoạt động kinh doanh.
  • Gián đoạn hoạt động : Backdoor có thể làm gián đoạn hoạt động bình thường bằng cách gây ra sự cố hệ thống, làm chậm hoặc từ chối các điều kiện dịch vụ. Điều này có thể dẫn đến thời gian ngừng hoạt động, mất năng suất và tác động tài chính do dịch vụ bị gián đoạn.
  • Các vấn đề về quy định và tuân thủ : Các tổ chức có thể phải đối mặt với các khoản phạt theo quy định và hậu quả pháp lý nếu hệ thống bị xâm nhập xử lý dữ liệu nhạy cảm tuân theo luật về quyền riêng tư hoặc quy định của ngành.
  • Khó khăn trong việc phát hiện và loại bỏ : Backdoor được thiết kế để tránh bị phát hiện bởi các biện pháp bảo mật như phần mềm chống phần mềm độc hại và tường lửa. Việc phát hiện và loại bỏ chúng hoàn toàn có thể là một thách thức, đòi hỏi kiến thức và công cụ chuyên dụng.
  • Lỗ hổng dài hạn : Ngay cả sau lần khắc phục ban đầu, các hệ thống bị xâm nhập vẫn có thể dễ bị tấn công trong tương lai hoặc các nỗ lực kích hoạt lại cửa sau liên tục của những kẻ tấn công kiên quyết.

Nhìn chung, hậu quả của việc lây nhiễm phần mềm độc hại cửa sau có thể nghiêm trọng và đa dạng, ảnh hưởng đến cả cá nhân và tổ chức về thiệt hại tài chính, hoạt động và danh tiếng cũng như xâm phạm quyền riêng tư và bảo mật của họ.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
38,825
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...