Xctdoor後門
一家韓國 ERP(企業資源規劃)供應商的更新伺服器被發現遭到破壞,分發了一個名為 Xctdoor 的基於 Go 的後門。研究人員在 2024 年 5 月發現了這次攻擊,雖然他們沒有找出具體的威脅參與者或組織,但他們注意到與臭名昭著的拉撒路集團有聯繫的一個子組織Andariel使用的策略有相似之處。
這些策略與過去涉及北韓對手的事件相呼應,北韓對手曾於 2017 年利用 ERP 解決方案傳播 HotCroissant(也稱為Rifdoor )等惡意軟體。
目錄
Xctdoor 後門為攻擊者提供了眾多有害功能
在攻擊分析過程中,確定可執行檔已變更為使用 regsvr32.exe 進程從特定路徑執行 DLL 文件,而不是啟動下載程式。該 DLL 檔案稱為 Xctdoor,具有擷取系統資訊(例如按鍵、螢幕截圖和剪貼簿內容)以及執行攻擊者發出的命令的功能。
Xctdoor 透過 HTTP 與指令與控制 (C2) 伺服器進行通信,並利用 Mersenne Twister (MT19937) 和 Base64 演算法進行封包加密。該攻擊還涉及另一個名為 XcLoader 的惡意軟體變體,旨在將 Xctdoor 注入「explorer.exe」等合法進程中。最近的調查結果表明,至少自 2024 年 3 月起,就有一些安全措施不夠充分的 Web 伺服器遭到入侵以安裝 XcLoader。
其他惡意軟體威脅濫用相同的進程
regsvr32.exe 進程已在與北韓有關的其他活動中被利用,特別是被 Kimsuky APT 組織利用。他們使用了一個名為 HappyDoor 的未公開後門,該後門至少從 2021 年 7 月開始運行。
這些攻擊序列通常以分發壓縮檔案的魚叉式網路釣魚電子郵件開始。在這個檔案中,我們發現了一個混淆的 JavaScript 或 dropper,它在執行時會啟動 HappyDoor 以及誘餌檔案。 HappyDoor 透過 regsvr32.exe 實作為 DLL 文件,透過 HTTP 與遠端伺服器建立通訊。其功能包括資料竊取、檔案下載/上傳功能以及自我更新和終止進程的能力。
後門感染可能會對受害者帶來嚴重後果
由於這些威脅的隱密性和持久性,後門惡意軟體感染的受害者可能會面臨嚴重後果。以下是一些潛在影響:
- 資料竊取:後門通常允許攻擊者取得私人資訊,例如登入憑證、財務資料、智慧財產權和個人文件。收集到的數據可用於獲取經濟利益或用於進一步的攻擊。
- 監視和監視:後門可能使攻擊者能夠監視和監視受害者的活動,包括擊鍵、螢幕截圖、網路攝影機饋送和麥克風輸入。這種侵犯隱私的行為可能導致個人或企業間諜活動。
- 未經授權的存取:攻擊者可以獲得對受感染系統的長時間未經授權的存取。此存取權限可用於操縱或破壞系統、中斷操作甚至部署其他惡意軟體。
- 系統妥協:後門通常會削弱系統的整體安全狀況,使其容易受到進一步的利用。這可能會導致網路內其他連接的系統或資源受到損害。
- 財務損失:企業可能因資金被盜、商業機會損失、法律責任以及與補救和恢復工作相關的成本而遭受財務損失。
- 聲譽受損:對組織而言,後門感染可能會導致聲譽受損、客戶信任喪失和品牌價值下降。這可能會對業務關係和營運產生長期影響。
- 操作中斷:後門可能會導致系統崩潰、速度減慢或拒絕服務情況,從而擾亂正常操作。這可能會因服務中斷而導致停機、生產力損失和財務影響。
- 監管和合規問題:如果受感染的系統根據隱私法或行業法規處理敏感數據,組織可能會面臨監管罰款和法律後果。
- 偵測和移除困難:後門旨在逃避反惡意軟體和防火牆等安全措施的偵測。檢測並完全去除它們可能具有挑戰性,需要專門的知識和工具。
- 長期漏洞:即使在最初的修復之後,受損的系統仍然可能容易受到未來的攻擊或頑固的攻擊者持續的後門重新激活嘗試。
整體而言,後門惡意軟體感染的後果可能是嚴重且多方面的,對個人和組織造成財務、營運和聲譽損害,並損害他們的隱私和安全。
