Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Andariel крадет секреты корейской оборонной промышленности

03/07/24

ftcms_05d1b23e-f66e-47e3-893f-5f3aac75f6d3

Специалисты AhnLab выявили случаи атак на корейские ERP-системы, в ходе которых злоумышленники захватили контроль над корпоративными сетями и распространили вредоносное ПО. Основными целями атак стали корейские оборонные и производственные предприятия, пишет Securitylab.

AhnLab установила, что за атакой стоит хакерская группировка Andariel, связанная с Lazarus Group. Группа уже известна своими атаками на ERP-системы с использованием бэкдоров HotCroissant и Riffdoor. В обнаруженной кампании злоумышленники использовали процесс Regsvr32.exe для выполнения DLL из определенного пути.

Обнаруженная DLL оказалась вредоносной программой. Хакеры использовали в коде ключевое слово «XctMain», что позволило классифицировать бэкдор как Xctdoor.

Xctdoor написан на Go и способен передавать на C2-сервер основную информацию, такую как имя пользователя, имя компьютера и идентификатор вредоносного процесса. Бэкдор также выполняет удаленные команды и обладает функциями кражи данных, включая создание скриншотов, регистрацию нажатий клавиш, логирование буфера обмена и передачу данных о дисках.

Для внедрения Xctdoor в систему используется загрузчик XcLoader, который был обнаружен в марте во время атаки группы на веб-серверы. Предполагается, что для распространения вредоносного ПО использовались уязвимости или неправильные настройки веб-серверов Windows IIS версии 8.5.

Помимо действий XcLoader, связанных с установкой вредоносного ПО, были обнаружены действия по сбору системной информации. Специалисты сравнивают это со случаем, когда на веб-серверах устанавливаются веб-оболочки для выполнения команд.

Кроме того, в некоторых затронутых системах были также обнаружены журналы Ngrok —программы туннелирования, которая позволяет установить удаленное управление через RDP на зараженных системах и часто наблюдается в атаках, приписываемых группе Kimsuky.

Центр ASEC продолжает мониторинг угроз, связанных с атаками на корейские ERP-решения. Подобные методы использовались группой Andariel, и злоумышленники продолжают использовать уязвимости для распространения вредоносного ПО внутри компаний.

Темы:ПреступленияЮжная Кореявоенное оборудованиеAhnlab
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...