据The Hacker News消息,一家未具名的韩国企业资源规划(ERP)供应商服务器被发现遭到入侵,从而传播了一个名为Xctdoor的基于Go的后门程序。
AhnLab安全情报中心(ASEC)于2024年5月发现了这一攻击,指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式,利用ERP解决方案传播HotCroissant等恶意软件。
在ASEC最近分析的事件中,攻击者通过可执行文件被篡改,使用regsvr32.exe进程从特定路径执行一个DLL文件,该文件能够窃取系统信息,包括击键、屏幕截图和剪贴板内容,并执行攻击者发出的命令。
ASEC 表示,Xctdoor 使用 HTTP 协议与命令与控制服务器通信,而数据包加密则采用MT19937算法和 Base64 算法。 攻击中还使用了一个名为 XcLoader 的恶意软件,这是一个注入器恶意软件,负责将 Xctdoor 注入合法进程(如 "explorer.exe")。
ASEC还发现另一个朝鲜黑客组织Kimusky使用了一种代号为HappyDoor的后门,该后门早在2021年7月就已投入使用。该攻击链利用鱼叉式网络钓鱼电子邮件传播一个压缩文件,文件包含一个混淆的JavaScript或dropper,通过regsvr32.exe执行DLL文件,执行时会创建并运行HappyDoor和一个诱饵文件。 HappyDoor可通过Http与远程服务器通信,便于窃取信息、下载/上传文件,以及更新和终止自身活动。
安全研究员伊丹-塔拉布(Idan Tarab)表示,这也是继Konni网络间谍组织(又名Opal Sleet、Osmium或TA406)之后又一起针对韩国策划的 "大规模 "恶意软件传播活动。
参考来源:
https://thehackernews.com/2024/07/south-korean-erp-vendors-server-hacked.html