Um servidor de atualização de produtos de um fornecedor não identificado de Enterprise Resource Planning (ERP) sul-coreano foi comprometido para entregar um backdoor baseado em Go denominado Xctdoor.
O Centro de Inteligência de Segurança da AhnLab (ASEC), que identificou o ataque em maio de 2024, não atribuiu a um ator ou grupo de ameaças conhecido, mas observou que as táticas se sobrepõem às de Andariel, um subgrupo dentro do infame Grupo Lazarus.
As semelhanças decorrem do uso anterior da solução ERP pelo adversário norte-coreano para distribuir malware, como o HotCroissant – que é idêntico ao Rifdoor – em 2017, inserindo uma rotina maliciosa em um programa de atualização de software.
No incidente recente analisado pelo ASEC, o mesmo executável teria sido alterado para executar um arquivo DLL de um caminho específico usando o processo regsvr32.exe, ao invés de iniciar um downloader.
O arquivo DLL, Xctdoor, é capaz de roubar informações do sistema, incluindo teclas digitadas, capturas de tela e conteúdo da área de transferência, e executar comandos emitidos pelo ator de ameaça.
"O Xctdoor comunica com o servidor de comando e controle (command-and-control) usando o protocolo HTTP, enquanto a criptografia de pacotes emprega o algoritmo Mersenne Twister (MT19937) e o algoritmo Base64," disse o ASEC.
Também utilizado no ataque está um malware chamado XcLoader, que atua como um malware injetor responsável por injetar Xctdoor em processos legítimos (por exemplo, "explorer.exe").
O ASEC disse que detectou ainda casos em que servidores web mal protegidos foram comprometidos para instalar o XcLoader desde pelo menos março de 2024.
Esse desenvolvimento ocorre enquanto outro ator de ameaça vinculado à Coreia do Norte, conhecido como Kimusky, foi observado empregando um backdoor anteriormente não documentado com o nome de código HappyDoor, que vem sendo utilizado desde julho de 2021.
Cadeias de ataque que distribuem o malware utilizam e-mails de spear-phishing como ponto de partida para disseminar um arquivo comprimido, que contém um JavaScript ofuscado ou dropper que, quando executado, cria e executa o HappyDoor junto com um arquivo isca.
HappyDoor, um arquivo DLL executado via regsvr32.exe, está equipado para se comunicar com um servidor remoto via HTTP e facilitar o roubo de informações, download/upload de arquivos, bem como atualizar e encerrar a si mesmo.
Ele também segue uma campanha de distribuição de malware "massiva" orquestrada pelo grupo de espionagem cibernética Konni (também conhecido como Opal Sleet, Osmium ou TA406) visando a Coreia do Sul com iscas de phishing que personificam o serviço nacional de impostos para entregar malware capaz de roubar informações sensíveis, disse o pesquisador de segurança Idan Tarab.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...