一家未具名的韩国企业资源规划(ERP)供应商的产品更新服务器被发现泄露,以提供一个名为Xctdoor的基于Go的后门。
AhnLab安全情报中心(ASEC)确定2024年5月的袭击,没有将其归咎于已知的威胁行为者或组织,但指出其战术与Andariel臭名昭著的拉撒路集团的一个子集群。
相似之处源于朝鲜对手先前使用ERP解决方案分发HotCroissant等恶意软件Rifdoor-2017年,在软件更新程序中插入恶意程式。
DLL文件Xctdoor能够窃取系统信息,包括击键、截图和剪贴板内容,并执行威胁参与者发出的命令。
ASEC说:“Xctdoor使用HTTP协议与[命令与控制]服务器通信,而数据包加密使用Mersenne Twister(MT19937)算法和Base64算法。”
攻击中还使用了一个名为XcLoader的恶意软件,它充当注入恶意软件,负责将Xctdoor注入合法进程(例如,“explorer. exe”)。
ASEC表示,它进一步检测到至少自2024年3月以来,安全性较差的网络服务器被入侵安装XcLoader的案例。
事态发展之际,另一个与朝鲜有关的威胁行为体被称为Kimusky使用了以前没有文档记录的代号为幸福之门早在2021年7月就投入使用了。
攻击链分发恶意软件杠杆作用鱼叉-钓鱼电子邮件作为传播压缩文件的起点,其中包含一个模糊的JavaScript或滴管,当执行时,创建和运行HappyDoor旁边的诱饵文件。
HappyDoor是一个通过regsvr32.exe执行的DLL文件,它可以通过HTTP与远程服务器通信,方便信息窃取、下载/上传文件以及更新和终止自身。
它还遵循了一个“大规模”恶意软件分发活动策划的Konni网络间谍组织(又名蛋白石雨夹雪,锇,或TA406)针对韩国的钓鱼诱饵冒充国家税务局,提供恶意软件窃取敏感信息,安全研究员伊丹塔拉布说.
发表评论