İsmi açıklanmayan bir Güney Koreli kurumsal kaynak planlama (ERP) satıcısının ürün güncelleme sunucusunun, Xctdoor adı verilen Go tabanlı bir arka kapı açmak için tehlikeye atıldığı tespit edildi.
Saldırıyı Mayıs 2024’te tespit eden AhnLab Güvenlik İstihbarat Merkezi (ASEC), saldırıyı bilinen bir tehdit aktörüne veya grubuna bağlamadı ancak taktiklerin, kötü şöhretli Lazarus Grubu içindeki bir alt küme olan Andariel’in taktikleriyle örtüştüğünü belirtti.
Benzerlikler, Kuzey Koreli saldırganın daha önce Rifdoor ile aynı olan HotCroissant gibi kötü amaçlı yazılımları dağıtmak için ERP çözümünü 2017 yılında bir yazılım güncelleme programına kötü amaçlı bir rutin ekleyerek kullanmış olmasından kaynaklanıyor.
ASEC tarafından analiz edilen son olayda, bir indiriciyi başlatmak yerine regsvr32.exe işlemini kullanarak belirli bir yoldan bir DLL dosyasını çalıştırmak için aynı yürütülebilir dosyanın kurcalandığı söyleniyor.
Xctdoor adlı DLL dosyası, tuş vuruşları, ekran görüntüleri ve panodaki içerikler de dahil olmak üzere sistem bilgilerini çalabiliyor ve tehdit aktörü tarafından verilen komutları yürütebiliyor.
“Xctdoor, [command-and-control] ASEC, “Sunucu HTTP protokolünü kullanırken, paket şifrelemesi ise Mersenne Twister (MT19937) algoritması ve Base64 algoritmasını kullanıyor” dedi.
Saldırıda ayrıca, Xctdoor’u meşru işlemlere (örneğin “explorer.exe”) enjekte etmekten sorumlu bir enjektör kötü amaçlı yazılımı olarak hizmet veren XcLoader adlı bir kötü amaçlı yazılım da kullanıldı.
ASEC, en azından Mart 2024’ten bu yana XcLoader’ı yüklemek için zayıf güvenlikli web sunucularının tehlikeye atıldığı vakaları tespit ettiğini söyledi.
Gelişme, Kimusky olarak adlandırılan bir diğer Kuzey Kore bağlantılı tehdit aktörünün, Temmuz 2021’den beri kullanılmaya başlanan ve daha önce belgelenmemiş HappyDoor kod adlı bir arka kapıyı kullandığının gözlemlenmesinin ardından geldi.
Kötü amaçlı yazılımı dağıtan saldırı zincirleri, sıkıştırılmış bir dosyayı yaymak için başlangıç noktası olarak hedefli kimlik avı e-postalarını kullanır. Bu dosya, yürütüldüğünde HappyDoor’u sahte bir dosyayla birlikte oluşturur ve çalıştırır.
Regsvr32.exe üzerinden çalıştırılan bir DLL dosyası olan HappyDoor, HTTP üzerinden uzak bir sunucuyla iletişim kurabilecek ve bilgi hırsızlığını, dosya indirme/yüklemeyi, kendini güncelleyip sonlandırabilecek şekilde donatılmıştır.
Güvenlik araştırmacısı Idan Tarab, bunun ayrıca, Güney Kore’yi hedef alan Konni siber casusluk grubu (diğer adıyla Opal Sleet, Osmium veya TA406) tarafından düzenlenen ve hassas bilgileri çalabilen kötü amaçlı yazılımlar göndermek için ulusal vergi dairesini taklit eden kimlik avı yemleriyle düzenlenen “büyük” bir kötü amaçlı yazılım dağıtım kampanyasının ardından gerçekleştiğini söyledi.