聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
ASEC 在2024年5月发现了该攻击,但并未将其归咎于已知的威胁行动者或组织,但表示所用战术与臭名昭著的 Lazarus Group 的子集群 Andariel 之间存在重合之处。
朝鲜黑客组织此前被指在2017年,通过将恶意例程插入软件更新计划的方式,利用该 ERP 解决方案传播恶意软件如 HotCroissant(类似于 Rifdoor)。在 ASEC 分析的最新事件中,据称该可执行文件遭篡改,使用 regsvr32.exe 进程而非启动下载器的方式,从特定路径中执行DLL文件。该DLL文件 Xctdoor 能够窃取系统信息包括键击、截屏和剪贴板内容并执行由该威胁行动者发布的命令。
ASEC 表示,“Xctdoor 使用HTTP 协议与C2服务器通信,而数据包密钥应用的是 Mersenne Twister (MT 19937) 和 Base64 算法。”该攻击中还利用了一款恶意软件 XcLoader,它是一款注入器恶意软件,负责将 Xctdoor 注入合法进程(如,”explorer.exe”)。ASEC表示至少从2024年3月起就检测到安保不力的 web 服务器被用于安装 XcLoader。
此前不久,朝鲜的另外一个威胁组织 Kimusky 曾利用此前未知的一款后门 HappyDoor,而它可追溯至2021年7月。分发该恶意软件的攻击链利用鱼叉式钓鱼邮件作为起始点,传播压缩文件。而该文件中包含一款混淆的 JavaScript 或释放器,执行时会创建并运行 HappyDoor 和一份诱饵文件。HappyDoor 是通过 regsvr32.exe 执行的 DLL 文件,用于通过 HTTP 与远程服务器通信以便盗取信息、下载/上传文件以及自我更新和终止。安全研究员 Idan Tarab 表示,该组织还参与一场由 Konni 网络间谍组织(即 Opal Sleet、Osmium 或TA406)协调的“庞大的”恶意软件分发活动,通过模拟韩国税务服务的钓鱼诱饵传播恶意软件,窃取敏感信息等。
Apache OfBiz ERP 系统中存在严重 0day,可导致企业易受攻击
https://thehackernews.com/2024/07/south-korean-erp-vendors-server-hacked.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~