Xctdoor-Hintertür

Der Update-Server eines südkoreanischen ERP-Anbieters (Enterprise Resource Planning) wurde kompromittiert und verteilte eine Go-basierte Hintertür namens Xctdoor. Forscher deckten diesen Angriff im Mai 2024 auf, und obwohl sie keinen bestimmten Bedrohungsakteur oder keine bestimmte Gruppe ausmachen konnten, stellten sie Ähnlichkeiten mit den Taktiken von Andariel fest, einer Untergruppe, die mit der berüchtigten Lazarus Group in Verbindung steht.

Diese Taktik erinnert an frühere Vorfälle mit Beteiligung des nordkoreanischen Gegners, der die ERP-Lösung bereits 2017 ausnutzte, um Schadsoftware wie HotCroissant (auch bekannt als Rifdoor ) zu verbreiten. Erreicht wurde dies durch die Einschleusung von Schadcode in einen Software-Update-Mechanismus.

Die Xctdoor-Hintertür bietet Angreifern zahlreiche schädliche Möglichkeiten

Bei der Analyse des Angriffs wurde festgestellt, dass die ausführbare Datei so geändert wurde, dass sie eine DLL-Datei von einem bestimmten Pfad aus mithilfe des Prozesses regsvr32.exe ausführt, anstatt einen Downloader zu starten. Diese DLL-Datei, bekannt als Xctdoor, verfügt über Funktionen zum Erfassen von Systeminformationen wie Tastatureingaben, Screenshots und Zwischenablageinhalten sowie zum Ausführen von Befehlen, die vom Angreifer eingegeben wurden.

Xctdoor kommuniziert über HTTP mit einem Command-and-Control-Server (C2), wobei die Paketverschlüsselung die Algorithmen Mersenne Twister (MT19937) und Base64 verwendet. Der Angriff umfasst auch eine andere Malware-Variante namens XcLoader, die darauf ausgelegt ist, Xctdoor in legitime Prozesse wie „explorer.exe“ einzuschleusen. Jüngste Erkenntnisse deuten darauf hin, dass seit mindestens März 2024 Fälle vorliegen, in denen unzureichend gesicherte Webserver kompromittiert wurden, um XcLoader zu installieren.

Derselbe Prozess wird von anderen Malware-Bedrohungen missbraucht

Der Prozess regsvr32.exe wurde in anderen Kampagnen mit Bezug zu Nordkorea ausgenutzt, insbesondere von der APT-Gruppe Kimsuky. Sie haben eine nicht offengelegte Hintertür namens HappyDoor verwendet, die seit mindestens Juli 2021 in Betrieb ist.

Diese Angriffssequenzen beginnen normalerweise mit Spear-Phishing-E-Mails, die eine komprimierte Datei verteilen. In diesem Archiv befindet sich ein verschleiertes JavaScript oder ein Dropper, der bei Ausführung HappyDoor zusammen mit einer Lockdatei startet. HappyDoor, das als DLL-Datei über regsvr32.exe implementiert ist, stellt die Kommunikation mit einem Remote-Server über HTTP her. Zu seinen Funktionen gehören Datendiebstahl, Download-/Upload-Funktionen für Dateien sowie die Möglichkeit, sich selbst zu aktualisieren und Prozesse zu beenden.

Backdoor-Infektionen können schwerwiegende Folgen für die Opfer haben

Opfer von Backdoor-Malware-Infektionen können aufgrund der heimlichen und hartnäckigen Natur dieser Bedrohungen mit schwerwiegenden Folgen rechnen. Hier sind einige mögliche Auswirkungen:

• Datendiebstahl : Hintertüren ermöglichen es Angreifern oft, private Informationen wie Anmeldeinformationen, Finanzdaten, geistiges Eigentum und persönliche Dateien abzugreifen. Diese gesammelten Daten können für finanzielle Gewinne ausgenutzt oder für weitere Angriffe verwendet werden.
• Überwachung und Kontrolle : Hintertüren können es Angreifern ermöglichen, die Aktivitäten des Opfers zu überwachen und zu überwachen, einschließlich Tastatureingaben, Screenshots, Webcam-Feeds und Mikrofoneingaben. Dieser Eingriff in die Privatsphäre kann zu persönlicher oder Unternehmensspionage führen.
• Unbefugter Zugriff : Angreifer können sich über einen längeren Zeitraum unbefugten Zugriff auf kompromittierte Systeme verschaffen. Dieser Zugriff kann dazu genutzt werden, Systeme zu manipulieren oder zu sabotieren, den Betrieb zu stören oder sogar zusätzliche Malware zu verbreiten.
• Systemkompromittierung : Hintertüren schwächen oft die allgemeine Sicherheitslage des Systems und machen es anfällig für weitere Ausnutzung. Dies kann zur Kompromittierung anderer verbundener Systeme oder Ressourcen innerhalb des Netzwerks führen.
• Finanzielle Verluste : Unternehmen können durch Diebstahl von Geldern, entgangene Geschäftsmöglichkeiten, rechtliche Verbindlichkeiten und Kosten im Zusammenhang mit Sanierungs- und Wiederherstellungsbemühungen finanzielle Verluste erleiden.
• Reputationsschaden : Bei Unternehmen kann eine Backdoor-Infektion zu Reputationsschäden, Verlust des Kundenvertrauens und vermindertem Markenwert führen. Dies kann langfristige Folgen für Geschäftsbeziehungen und Betriebsabläufe haben.
• Betriebsunterbrechung : Hintertüren können den normalen Betrieb stören, indem sie Systemabstürze, Verlangsamungen oder Denial-of-Service-Zustände verursachen. Dies kann zu Ausfallzeiten, Produktivitätsverlusten und finanziellen Auswirkungen aufgrund von Dienstunterbrechungen führen.
• Probleme mit Vorschriften und Compliance : Organisationen müssen möglicherweise mit Geldbußen und rechtlichen Konsequenzen rechnen, wenn auf den kompromittierten Systemen vertrauliche Daten verarbeitet werden, die Datenschutzgesetzen oder Branchenvorschriften unterliegen.
• Schwierige Erkennung und Entfernung : Backdoors sind so konzipiert, dass sie nicht von Sicherheitsmaßnahmen wie Anti-Malware-Software und Firewalls erkannt werden. Sie vollständig zu erkennen und zu entfernen kann eine Herausforderung sein und erfordert spezielle Kenntnisse und Tools.
• Langfristige Verwundbarkeit : Auch nach der ersten Behebung können kompromittierte Systeme weiterhin anfällig für zukünftige Angriffe oder anhaltende Versuche entschlossener Angreifer sein, Hintertüren erneut zu aktivieren.

Insgesamt können die Folgen einer Infektion mit Backdoor-Malware schwerwiegend und vielschichtig sein. Sie können sowohl Einzelpersonen als auch Unternehmen finanziell, betriebswirtschaftlich und in Bezug auf ihren Ruf schädigen und zudem ihre Privatsphäre und Sicherheit gefährden.