Tehdit aktörleri, internet tabanlı kritik uygulamaların ve hizmetlerin çoğu bu sunuculara yüklendiği için IIS sunucularını hedef alır. Bilgisayar korsanları, farklı kurumsal sistemlere ve bilgi veritabanlarına sızmak için bu çekici hedefleri bulur.
Bunun yanında IIS’in kurumsal ortamlarda yaygın olarak kullanılması saldırganlara daha fazla kazanç sağlamaktadır.
AhnLab Güvenlik İstihbarat Merkezi’ndeki (ASEC) siber güvenlik araştırmacıları, yakın zamanda Xctdoor kötü amaçlı yazılımının kötü amaçlı yazılımları dağıtmak için IIS sunucularına saldırdığını keşfetti.
Xctdoor Kötü Amaçlı Yazılımı IIS Sunucularına Saldırıyor
Kimliği belirsiz bir tehdit aktörü, savunma ve üretim sektörlerini hedef alarak güncelleme sunucularına ve web sunucularına saldırmak için Kore menşeli bir ERP çözümü kullandı.
ERP yükseltme programlarına kötü amaçlı yazılım yerleştirmeyi içeren bu saldırı yöntemi, 2017 yılında Andariel grubunun kullandığı yönteme benziyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Xctdoor zararlı yazılımı, 2015’ten beri Lazarus’un alt grubu Andariel ile bağlantılı olan bir arka kapı olan Rifdoor’a benziyor.
HotCroissant adlı bir Rifdoor çeşidi 2017’den beri hedefli saldırılarda kullanılıyor. İlk enfeksiyon vektörü, kötü amaçlı yazılımı dahili olarak dağıtmak için Koreli bir ERP çözümü için güncelleme programını kullanmayı içeriyordu.
Benzer bir saldırı Mayıs 2024’te de gözlemlenmişti ancak bu sefer, kötü amaçlı bir DLL’yi çalıştırmak için Regsvr32.exe’yi kullanan değiştirilmiş bir yaklaşımla, dolayısıyla tehdit aktörünün stratejilerinin değiştiğine işaret ediyordu.
Go tabanlı DLL kötü amaçlı yazılımı Xctdoor, muhtemelen bir ERP güncelleme sunucusu aracılığıyla yayılmıştır. Kendini sistem süreçlerine enjekte eder ve XcLoader’ı kullanırken başlangıç kısayollarını kullanarak hayatta kalır.
Bu, sistem bilgilerini çalabilen ve komutları yürütebilen karmaşık bir kötü amaçlı yazılımdır ve tehdit aktörünün sistemleri tehlikeye atma ve bunlardan kaçma konusundaki gelişmiş yeteneğini göstermektedir.
Windows’daki explorer.exe işlemi, hem Go hem de C sürümlerinde bulunabilen bir “roaming.dat” dosyasıyla enfekte olmuştur. Ayrıca bu işleme eklenen Xctdoor’u da içerir.
Daha sonra basit sistem ayrıntılarını C&C sunucusuna gönderir, alınan komutları gerçekleştirir ve çeşitli veri sızdırma özelliklerini entegre eder.
ASEC laboratuvarı, HTTP iletişiminde paket şifrelemesinde Mersenne Twister ve Base64 algoritmalarının kullanıldığını belirtti.
XcLoader, muhtemelen yanlış yapılandırmalar veya güvenlik açıkları yoluyla Mart 2024’te saldırıya açık hale gelen Microsoft IIS 8.5 web sunucularını hedef aldı.
Andariel grubunun çalışma prensibine göre, son saldırılarda kötü amaçlı yazılım yaymak için Kore merkezli bir ERP çözümü kullanıldı.
Mayıs 2024’te savunmaya odaklanılırken, Mart 2024’te üretim sektöründeki web sunucularına XcLoader ile virüs bulaştırılan bir saldırı gerçekleşti.
Bu arka kapı yazılımı, sistem hakkında bilgi toplamayı ve komutları çalıştırmayı sağlayan Xcdoor’u enjekte etmek için kullanılıyor.
Çevrimiçi saldırılarda bu tür mekanizmaların kullanıldığı bilinmektedir; bunlara web kabukları ve Ngrok da dahildir.
Kullanıcılar e-posta ekleri ve indirmeleri konusunda dikkatli olmalı, yönetim ise varlık kontrol sistemlerini yakından izlemeli, mevcut tüm güvenlik güncellemelerini uygulamalı ve sistemlerini güncel tutmalıdır.
IoC’ler
MD5:-
– 235e02eba12286e74e886b6c99e46fb7: Değiştirilmiş ERP güncelleme programı – geçmiş durum (ClientUpdater.exe)
– 396bee51c7485c3a0d3b044a9ceb6487: HotCroissant – Geçmiş Durum (***Kor.exe)
– ab8675b4943bc25a51da66565cfc8ac8: Değiştirilmiş ERP güncelleme programı – son durum (ClientUpdater.exe)
– f24627f46ec64cae7a6fa9ee312c43d7: Değiştirilmiş ERP güncelleme programı – son durum (ClientUpdater.exe)
– 6928fab25ac1255fbd8d6c1046653919: XcLoader (XcExecutor.exe)
– 9a580aaaa3e79b6f19a2c70e89b016e3: XcLoader (icsvcext.dll)
– a42ae44761ce3294ce0775fe384d97b6: XcLoader (icsvcext.dll)
– d852c3d06ef63ea6c6a21b0d1cdf14d4: XcLoader (icsvcext.dll)
– 2e325935b2d1d0a82e63ff2876482956: XcLoader (ayarlar. Kilit)
– 4f5e5a392b8a3e0cb32320ed1e8d0604: XcLoader (test.exe)
– 54d5be3a4eb0e31c0ba7cb88f0a8e720: XcLoader (test.exe)
– b43a7dcfe53a981831ae763a9a5450fd: XcLoader (test.exe)
– e554b1be8bab11e979c75e2c2453bc6a: XcLoader (test.exe)
– 41d5d25de0ca0fdc54c24c484f9f8f55: XcLoader (ayarlar. Kilit)
– b96b98dede8a64373b539f94042bdb41: XcLoader (ayarlar. Kilit)
– 375f1cc32b6493662a78720c7d905bc3: XcLoader (ayarlar.kilit)
– d938201644aac3421df7a3128aa88a53: XcLoader (onedrive.dll)
– d787a33d76552019becfef0a4af78a11: XcLoader (onedrive.dll)
– 09a5069c9cc87af39bbb6356af2c1a36: XcLoader (onedrive.dll)
– ad96a8f22faab8b9c361cfccc381cd28: Xctdoor (******.***.Common.RegEx.dll)
– 9bbde4484821335d98b41b44f93276e8: Xctdoor (******.***.Common.RegEx.dll)
– 11465d02b0d7231730f3c4202b0400b8: Xctdoor (******.***.Common.RegEx.dll)
C&C Sunucu Adresleri:-
– 195.50.242[.]110:8080: Sıcak Kruvasan
– hxxp://beebeep[.]bilgi/index.php: Xctdoor
İndirme URL’si:-
– hxxp://www.jikji.pe[.]kr/xe/dosyalar/attach/binaries/102/663/image.gif: HotCroissant
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files