韩国 ERP 厂商服务被黑，用于传播 Xctdoor 恶意软件

AhnLab 安全情报中心 (ASEC) 提到，一个未具名的韩国企业资源规划 (ERP) 厂商的产品更新服务器遭攻陷，用于传播基于 Go 的后门 “Xctdoor”。

ASEC 在2024年5月发现了该攻击，但并未将其归咎于已知的威胁行动者或组织，但表示所用战术与臭名昭著的 Lazarus Group 的子集群 Andariel 之间存在重合之处。

朝鲜黑客组织此前被指在2017年，通过将恶意例程插入软件更新计划的方式，利用该 ERP 解决方案传播恶意软件如 HotCroissant（类似于 Rifdoor）。在 ASEC 分析的最新事件中，据称该可执行文件遭篡改，使用 regsvr32.exe 进程而非启动下载器的方式，从特定路径中执行DLL文件。该DLL文件 Xctdoor 能够窃取系统信息包括键击、截屏和剪贴板内容并执行由该威胁行动者发布的命令。

ASEC 表示，“Xctdoor 使用HTTP 协议与C2服务器通信，而数据包密钥应用的是 Mersenne Twister (MT 19937) 和 Base64 算法。”该攻击中还利用了一款恶意软件 XcLoader，它是一款注入器恶意软件，负责将 Xctdoor 注入合法进程（如,”explorer.exe”）。ASEC表示至少从2024年3月起就检测到安保不力的 web 服务器被用于安装 XcLoader。

此前不久，朝鲜的另外一个威胁组织 Kimusky 曾利用此前未知的一款后门 HappyDoor，而它可追溯至2021年7月。分发该恶意软件的攻击链利用鱼叉式钓鱼邮件作为起始点，传播压缩文件。而该文件中包含一款混淆的 JavaScript 或释放器，执行时会创建并运行 HappyDoor 和一份诱饵文件。HappyDoor 是通过 regsvr32.exe 执行的 DLL 文件，用于通过 HTTP 与远程服务器通信以便盗取信息、下载/上传文件以及自我更新和终止。安全研究员 Idan Tarab 表示，该组织还参与一场由 Konni 网络间谍组织（即 Opal Sleet、Osmium 或TA406）协调的“庞大的”恶意软件分发活动，通过模拟韩国税务服务的钓鱼诱饵传播恶意软件，窃取敏感信息等。