韩国企业服务器被入侵以传播Xctdoor恶意软件
2024-7-8 10:20:42 Author: www.freebuf.com(查看原文) 阅读量:22 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据The Hacker News消息,一家未具名的韩国企业资源规划(ERP)供应商服务器被发现遭到入侵,从而传播了一个名为Xctdoor的基于Go的后门程序。

AhnLab安全情报中心(ASEC)于2024年5月发现了这一攻击,指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式,利用ERP解决方案传播HotCroissant等恶意软件。

在ASEC最近分析的事件中,攻击者通过可执行文件被篡改,使用regsvr32.exe进程从特定路径执行一个DLL文件,该文件能够窃取系统信息,包括击键、屏幕截图和剪贴板内容,并执行攻击者发出的命令。

ASEC 表示,Xctdoor 使用 HTTP 协议与命令与控制服务器通信,而数据包加密则采用MT19937算法和 Base64 算法。 攻击中还使用了一个名为 XcLoader 的恶意软件,这是一个注入器恶意软件,负责将 Xctdoor 注入合法进程(如 "explorer.exe")。

ASEC还发现另一个朝鲜黑客组织Kimusky使用了一种代号为HappyDoor的后门,该后门早在2021年7月就已投入使用。该攻击链利用鱼叉式网络钓鱼电子邮件传播一个压缩文件,文件包含一个混淆的JavaScript或dropper,通过regsvr32.exe执行DLL文件,执行时会创建并运行HappyDoor和一个诱饵文件。 HappyDoor可通过Http与远程服务器通信,便于窃取信息、下载/上传文件,以及更新和终止自身活动。

安全研究员伊丹-塔拉布(Idan Tarab)表示,这也是继Konni网络间谍组织(又名Opal Sleet、Osmium或TA406)之后又一起针对韩国策划的 "大规模 "恶意软件传播活动。

参考来源:

South Korean ERP Vendor's Server Hacked to Spread Xctdoor Malware

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/405396.html
如有侵权请联系:admin#unsafe.sh