聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
ASEC 在2024年5月发现了该攻击,但并未将其归咎于已知的威胁行动者或组织,但表示所用战术与臭名昭著的 Lazarus Group 的子集群 Andariel 之间存在重合之处。
朝鲜黑客组织此前被指在2017年,通过将恶意例程插入软件更新计划的方式,利用该 ERP 解决方案传播恶意软件如 HotCroissant(类似于 Rifdoor)。在 ASEC 分析的最新事件中,据称该可执行文件遭篡改,使用 regsvr32.exe 进程而非启动下载器的方式,从特定路径中执行DLL文件。该DLL文件 Xctdoor 能够窃取系统信息包括键击、截屏和剪贴板内容并执行由该威胁行动者发布的命令。
ASEC 表示,“Xctdoor 使用HTTP 协议与C2服务器通信,而数据包密钥应用的是 Mersenne Twister (MT 19937) 和 Base64 算法。”该攻击中还利用了一款恶意软件 XcLoader,它是一款注入器恶意软件,负责将 Xctdoor 注入合法进程(如,”explorer.exe”)。ASEC表示至少从2024年3月起就检测到安保不力的 web 服务器被用于安装 XcLoader。
此前不久,朝鲜的另外一个威胁组织 Kimusky 曾利用此前未知的一款后门 HappyDoor,而它可追溯至2021年7月。分发该恶意软件的攻击链利用鱼叉式钓鱼邮件作为起始点,传播压缩文件。而该文件中包含一款混淆的 JavaScript 或释放器,执行时会创建并运行 HappyDoor 和一份诱饵文件。HappyDoor 是通过 regsvr32.exe 执行的 DLL 文件,用于通过 HTTP 与远程服务器通信以便盗取信息、下载/上传文件以及自我更新和终止。安全研究员 Idan Tarab 表示,该组织还参与一场由 Konni 网络间谍组织(即 Opal Sleet、Osmium 或TA406)协调的“庞大的”恶意软件分发活动,通过模拟韩国税务服务的钓鱼诱饵传播恶意软件,窃取敏感信息等。
原文始发于微信公众号(代码卫士):韩国 ERP 厂商服务被黑,用于传播 Xctdoor 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论