韩国 ERP 供应商遭黑客攻击,被悄悄安上后门

admin 2024年7月9日07:29:31评论1 views字数 808阅读2分41秒阅读模式

韩国 ERP 供应商遭黑客攻击,被悄悄安上后门

关键词

恶意攻击

据The Hacker News消息,一家未具名的韩国企业资源规划(ERP)供应商服务器被发现遭到入侵,从而传播了一个名为Xctdoor的基于Go的后门程序。

韩国 ERP 供应商遭黑客攻击,被悄悄安上后门

AhnLab安全情报中心(ASEC)于2024年5月发现了这一攻击,指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式,利用ERP解决方案传播HotCroissant等恶意软件

在ASEC最近分析的事件中,攻击者通过可执行文件被篡改,使用regsvr32.exe进程从特定路径执行一个DLL文件,该文件能够窃取系统信息,包括击键、屏幕截图和剪贴板内容,并执行攻击者发出的命令。

ASEC 表示,Xctdoor 使用 HTTP 协议与命令与控制服务器通信,而数据包加密则采用MT19937算法和 Base64 算法。攻击中还使用了一个名为 XcLoader 的恶意软件,这是一个注入器恶意软件,负责将 Xctdoor 注入合法进程(如 "explorer.exe")。

ASEC还发现另一个朝鲜黑客组织Kimusky使用了一种代号为HappyDoor的后门,该后门早在2021年7月就已投入使用。该攻击链利用鱼叉式网络钓鱼电子邮件传播一个压缩文件,文件包含一个混淆的JavaScript或dropper,通过regsvr32.exe执行DLL文件,执行时会创建并运行HappyDoor和一个诱饵文件。HappyDoor可通过Http与远程服务器通信,便于窃取信息、下载/上传文件,以及更新和终止自身活动。

安全研究员伊丹-塔拉布(Idan Tarab)表示,这也是继Konni网络间谍组织(又名Opal Sleet、Osmium或TA406)之后又一起针对韩国策划的 "大规模 "恶意软件传播活动。

END

原文始发于微信公众号(安全圈):【安全圈】韩国 ERP 供应商遭黑客攻击,被悄悄安上后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月9日07:29:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   韩国 ERP 供应商遭黑客攻击,被悄悄安上后门http://cn-sec.com/archives/2932989.html

发表评论

匿名网友 填写信息