Ο server ενός προμηθευτή enterprise resource planning (ERP) λογισμικού, με έδρα τη Νότια Κορέα, έχει παραβιαστεί για τη διανομή ενός backdoor με το όνομα Xctdoor.
Το AhnLab Security Intelligence Center (ASEC), το οποίο εντόπισε την επίθεση τον Μάιο του 2024, δεν την απέδωσε σε κάποιο γνωστό παράγοντα ή ομάδα απειλής. Ωστόσο, παρατήρησε κάποιες ομοιότητες στις τακτικές αυτών των επιτιθέμενων και σε αυτές που χρησιμοποιεί η ομάδα Andariel.
Μια από αυτές τις ομοιότητες είναι η χρήση της λύσης ERP. Οι Βορειοκορεάτες hackers Andariel την είχαν χρησιμοποιήσει για τη διανομή κακόβουλου λογισμικού όπως το HotCroissant, εισάγοντας μια κακόβουλη ρουτίνα σε ένα software update program.
Δείτε επίσης: Κακόβουλη διαφημιστική καμπάνια διαδίδει το Oyster Backdoor
Στο πρόσφατο περιστατικό, το ίδιο εκτελέσιμο λέγεται ότι έχει παραβιαστεί για την εκτέλεση ενός αρχείου DLL, χρησιμοποιώντας τη διαδικασία regsvr32.exe.
Το αρχείο DLL, που είναι το Xctdoor backdoor, είναι σε θέση να κλέβει πληροφορίες συστήματος, συμπεριλαμβανομένων πληκτρολογήσεων, screenshots και περιεχομένου του προχείρου. Μπορεί, ακόμα, να εκτελεί εντολές των επιτιθέμενων.
“Το Xctdoor επικοινωνεί με τον διακομιστή [command-and-control] χρησιμοποιώντας το πρωτόκολλο HTTP, ενώ η κρυπτογράφηση πακέτων χρησιμοποιεί τον αλγόριθμο Mersenne Twister (MT19937) και τον αλγόριθμο Base64“, δήλωσε η ASEC.
Στην επίθεση χρησιμοποιείται, επίσης, ένα κακόβουλο λογισμικό που ονομάζεται XcLoader, το οποίο χρησιμεύει ως injector malware που είναι υπεύθυνο για την εισαγωγή του Xctdoor backdoor σε νόμιμες διαδικασίες (π.χ. “explorer.exe”).
Δείτε επίσης: Hackers εκμεταλλεύονται νόμιμα sites για τη διανομή του BadSpace Windows Backdoor
Από το Μάρτιο του 2024, έχουν εντοπιστεί αρκετοί μη ασφαλείς web servers που έχουν παραβιαστεί για την εγκατάσταση του XcLoader.
Προστασία από backdoor
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το Xctdoor backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Δείτε επίσης: Η ομάδα Kimsuky αναπτύσσει το νέο Linux backdoor Gomir
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του Xctdoor backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: thehackernews.com
 λογισμικού, από τη Νότια Κορέα, έχει παραβιαστεί για διανομή του backdoor Xctdoor){kind=link}