Af Eskil Sørensen, 02/07/24
En sydkoreansk ERP-leverandørs produktopdateringsserver er blevet angrebet og brugt til at levere malware i stedet for produktopdateringer.
Det skriver The Register med henvisning til et indlæg fra et lokalt sikkerhedsfirma AhnLab.
I dette fremgår det, at der er installeret bagdøre ved navn HotCroissant og Riffdoor, og de er set rettet mod ERP-systemer ved ændring af ClientUpdater.exe, hvorved der er leveret ondsindede opdateringer i stedet for det modsatte.
AhnLab forklarer, at bagmændenes angrebsteknik ligner en metode, som anvendes af Andariel-gruppen, som ifølge mediet er et datterselskab af nordkoreanske Lazarus Group.
I hændelsen, der blev opdaget af AhnLabs sikkerhedsteam, indsatte angribere en rutine til at udføre en DLL fra en bestemt sti ved hjælp af Regsvr32.exe-processen. De koreanske researchere navngav processen DLL Xctdoor og vurderede malwaren som værende "i stand til at stjæle systeminformation og udføre kommandoer fra trusselsaktøren." Dermed kan trusselsaktørerne ”kontrollere inficerede systemer og eksfiltrere information gennem malwaren.”
"Xctdoor er en bagdør, der transmitterer grundlæggende information såsom brugernavn, computernavn og malwares PID til C&C-serveren og kan udføre kommandoer modtaget fra den," skriver researcherne. "Yderligere understøtter den funktioner til infostealing såsom optagelse af skærmbilleder, keylogging, clipboard-logning og overførsel af drevinformation."
Andariel angriber primært finansielle institutioner, statslige enheder og forsvarsindustrien, som de seneste angreb har været rettet i mod. De er også kendt for at forgrene sig til sundhedsvæsenet og andre områder. De seneste angreb var rettet mod forsvarsindustrien, men de kom inden for få måneder efter angreb på andre industrier, herunder fremstillingsindustrien.
Brugere opfordres til at være særligt forsigtige med vedhæftede filer i e-mails fra ukendte kilder og eksekverbare filer, downloadet fra websider.
Links:
https://www.theregister.com/2024/07/02/korean_erp_backdoor_malware_attack/