03/07/24
Специалисты AhnLab выявили случаи атак на корейские ERP-системы, в ходе которых злоумышленники захватили контроль над корпоративными сетями и распространили вредоносное ПО. Основными целями атак стали корейские оборонные и производственные предприятия, пишет Securitylab.
AhnLab установила, что за атакой стоит хакерская группировка Andariel, связанная с Lazarus Group. Группа уже известна своими атаками на ERP-системы с использованием бэкдоров HotCroissant и Riffdoor. В обнаруженной кампании злоумышленники использовали процесс Regsvr32.exe для выполнения DLL из определенного пути.
Обнаруженная DLL оказалась вредоносной программой. Хакеры использовали в коде ключевое слово «XctMain», что позволило классифицировать бэкдор как Xctdoor.
Xctdoor написан на Go и способен передавать на C2-сервер основную информацию, такую как имя пользователя, имя компьютера и идентификатор вредоносного процесса. Бэкдор также выполняет удаленные команды и обладает функциями кражи данных, включая создание скриншотов, регистрацию нажатий клавиш, логирование буфера обмена и передачу данных о дисках.
Для внедрения Xctdoor в систему используется загрузчик XcLoader, который был обнаружен в марте во время атаки группы на веб-серверы. Предполагается, что для распространения вредоносного ПО использовались уязвимости или неправильные настройки веб-серверов Windows IIS версии 8.5.
Помимо действий XcLoader, связанных с установкой вредоносного ПО, были обнаружены действия по сбору системной информации. Специалисты сравнивают это со случаем, когда на веб-серверах устанавливаются веб-оболочки для выполнения команд.
Кроме того, в некоторых затронутых системах были также обнаружены журналы Ngrok —программы туннелирования, которая позволяет установить удаленное управление через RDP на зараженных системах и часто наблюдается в атаках, приписываемых группе Kimsuky.
Центр ASEC продолжает мониторинг угроз, связанных с атаками на корейские ERP-решения. Подобные методы использовались группой Andariel, и злоумышленники продолжают использовать уязвимости для распространения вредоносного ПО внутри компаний.
