据The Hacker News消息，一家未具名的韩国企业资源规划（ERP）供应商服务器被发现遭到入侵，从而传播了一个名为Xctdoor的基于Go的后门程序。

AhnLab安全情报中心（ASEC）于2024年5月发现了这一攻击，指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式，利用ERP解决方案传播HotCroissant等恶意软件。

在ASEC最近分析的事件中，攻击者通过可执行文件被篡改，使用regsvr32.exe进程从特定路径执行一个DLL文件，该文件能够窃取系统信息，包括击键、屏幕截图和剪贴板内容，并执行攻击者发出的命令。

ASEC 表示，Xctdoor 使用 HTTP 协议与命令与控制服务器通信，而数据包加密则采用MT19937算法和 Base64 算法。 攻击中还使用了一个名为 XcLoader 的恶意软件，这是一个注入器恶意软件，负责将 Xctdoor 注入合法进程（如 "explorer.exe"）。

ASEC还发现另一个朝鲜黑客组织Kimusky使用了一种代号为HappyDoor的后门，该后门早在2021年7月就已投入使用。该攻击链利用鱼叉式网络钓鱼电子邮件传播一个压缩文件，文件包含一个混淆的JavaScript或dropper，通过regsvr32.exe执行DLL文件，执行时会创建并运行HappyDoor和一个诱饵文件。 HappyDoor可通过Http与远程服务器通信，便于窃取信息、下载/上传文件，以及更新和终止自身活动。

安全研究员伊丹-塔拉布（Idan Tarab）表示，这也是继Konni网络间谍组织（又名Opal Sleet、Osmium或TA406）之后又一起针对韩国策划的 "大规模 "恶意软件传播活动。

参考来源：

https://thehackernews.com/2024/07/south-korean-erp-vendors-server-hacked.html