Güney Koreli ERP Sağlayıcısının Sunucusu, Xctdoor Kötü Amaçlı Yazılımını Yaymak İçin Hacklendi

03.07.2024

Mayıs 2024'te AhnLab Güvenlik İstihbarat Merkezi (ASEC) tarafından keşfedilen saldırıya belirli bir tehdit aktörü veya grubu atfedilmedi. Ancak ASEC, Andariel adlı Lazarus Grubu'nun alt grubunun kullandığı taktiklerle benzerlikler bulunduğunu belirtti.

Bağlantı, Kuzey Koreli aktörlerin daha önce ERP yazılımını HotCroissant (Rifdoor'a benzer) adlı kötü amaçlı yazılımı dağıtmak için güncelleme süreçlerine kötü niyetli kod enjekte ederek kullandıkları olaylara dayanmaktadır.

ASEC'in analiz ettiği bu son olayda, ihlal edilen yürütülebilir dosya, standart bir indirici yerine regsvr32.exe aracılığıyla bir DLL dosyasını çalıştırmak üzere değiştirildi. Bu DLL dosyası, sistem bilgileri toplama, tuş vuruşları yakalama, ekran görüntüsü alma ve saldırgan tarafından verilen komutları yürütme yeteneğine sahiptir.

ASEC'e göre, "Xctdoor, HTTP protokolünü kullanarak komuta kontrol sunucusuyla iletişim kuruyor ve paket şifrelemesi için Mersenne Twister (MT19937) ve Base64 algoritmalarını kullanıyor."

Saldırı ayrıca, "explorer.exe" gibi meşru işlemlere Xctdoor enjekte eden XcLoader adlı kötü amaçlı yazılımı da içermekte. ASEC, Mart 2024'ten bu yana kötü güvenlik önlemlerine sahip web sunucularının XcLoader'ı dağıtmak için ihlal edildiği durumları belirledi.

Bu arada, başka bir Kuzey Kore'ye bağlı tehdit aktörü olan Kimusky'nin Temmuz 2021'den beri kullanılan HappyDoor adlı önceden belgelenmemiş bir arka kapıyı kullandığı gözlemlendi. Bu kötü amaçlı yazılım, gizlenmiş JavaScript veya dropper içeren spear-phishing e-postaları aracılığıyla dağıtılıyor ve veri hırsızlığı, dosya transferi ve kendini güncelleme veya sonlandırma işlemleri için HTTP üzerinden regsvr32.exe kullanıyor.

Güvenlik araştırmacısı Idan Tarab, Konni siber casusluk grubunun (Opal Sleet, Osmium veya TA406 olarak da bilinir) Güney Kore'yi hedef alan ve ulusal vergi hizmetini taklit eden phishing e-postaları aracılığıyla hassas bilgileri çalmak için kötü amaçlı yazılım dağıtma kampanyasını vurguladı. Sen