Xctdoor 后门
一家韩国 ERP(企业资源规划)供应商的更新服务器被发现受到攻击,并传播了一个名为 Xctdoor 的基于 Go 的后门。研究人员于 2024 年 5 月发现了这次攻击,虽然他们没有确定具体的威胁行为者或团体,但他们注意到与臭名昭著的Lazarus Group相关的子团体Andariel使用的策略有相似之处。
这些策略与朝鲜对手过去采取的行动如出一辙,朝鲜对手曾在 2017 年利用 ERP 解决方案传播恶意软件,如 HotCroissant(也称为Rifdoor )。这是通过将恶意代码植入软件更新机制来实现的。
目录
Xctdoor 后门为攻击者提供了多种有害功能
在攻击分析过程中,我们发现可执行文件已被修改,使用 regsvr32.exe 进程从特定路径运行 DLL 文件,而不是启动下载程序。这个名为 Xctdoor 的 DLL 文件能够捕获系统信息(例如按键、屏幕截图和剪贴板内容)并执行攻击者发出的命令。
Xctdoor 通过 HTTP 与命令和控制 (C2) 服务器通信,数据包加密采用梅森旋转算法 (MT19937) 和 Base64 算法。此次攻击还涉及另一种名为 XcLoader 的恶意软件变体,旨在将 Xctdoor 注入“explorer.exe”等合法进程。最近的调查结果表明,至少自 2024 年 3 月以来,就有安全保护不足的 Web 服务器被入侵以安装 XcLoader。
同一进程被其他恶意软件威胁滥用
regsvr32.exe 进程已在其他与朝鲜有关的活动中被利用,尤其是 Kimsuky APT 组织。他们利用了一个名为 HappyDoor 的未公开后门,该后门至少从 2021 年 7 月开始运行。
这些攻击序列通常以分发压缩文件的鱼叉式网络钓鱼电子邮件开始。在此存档中,发现了一个模糊的 JavaScript 或植入程序,它在执行时会启动 HappyDoor 以及诱饵文件。HappyDoor 通过 regsvr32.exe 以 DLL 文件的形式实现,通过 HTTP 与远程服务器建立通信。其功能包括数据窃取、文件下载/上传功能以及自我更新和终止进程的能力。
后门感染可能给受害者带来严重后果
由于这些威胁具有隐秘性和持久性,后门恶意软件感染的受害者可能会面临严重后果。以下是一些潜在影响:
- 数据窃取:后门通常允许攻击者获取私人信息,例如登录凭据、财务数据、知识产权和个人文件。这些收集的数据可用于获取经济利益或用于进一步的攻击。
- 监视和监控:后门可能使攻击者能够监视和监控受害者的活动,包括击键、屏幕截图、网络摄像头反馈和麦克风输入。这种侵犯隐私的行为可能导致个人或企业间谍活动。
- 未经授权的访问:攻击者可以长时间未经授权访问受感染的系统。这种访问可用于操纵或破坏系统、扰乱操作甚至部署其他恶意软件。
- 系统入侵:后门通常会削弱系统的整体安全态势,使其容易受到进一步攻击。这可能导致网络内其他连接的系统或资源受到入侵。
- 财务损失:企业可能因资金被盗、商业机会丧失、法律责任以及与补救和恢复工作相关的成本而遭受财务损失。
- 声誉受损:对于组织而言,后门感染可能导致声誉受损、失去客户信任和品牌价值下降。这可能会对业务关系和运营产生长期影响。
- 运营中断:后门程序可导致系统崩溃、速度变慢或拒绝服务,从而扰乱正常运营。这可能导致停机、生产力损失以及因服务中断而产生的财务影响。
- 监管和合规问题:如果受损系统处理受隐私法或行业法规约束的敏感数据,组织可能面临监管罚款和法律后果。
- 检测和删除难度:后门旨在逃避反恶意软件和防火墙等安全措施的检测。检测和彻底删除它们可能具有挑战性,需要专业知识和工具。
- 长期漏洞:即使经过初步补救,受感染的系统仍然可能容易受到未来的攻击或坚定攻击者的持续后门重新激活尝试。
总体而言,后门恶意软件感染的后果可能是严重且多方面的,对个人和组织造成财务、运营和声誉损失,并危及他们的隐私和安全。
