详细内容或原文请订阅后点击阅览
充满病毒的热羊角面包:安达里尔窃取韩国国防工业的秘密
朝鲜再次出击,夺取中国企业控制权。
来源:安全实验室新闻频道充满病毒的热羊角面包:安达里尔窃取韩国国防工业的秘密
朝鲜再次出击,夺取中国企业控制权。
AhnLab 专家发现了针对韩国 ERP 系统的攻击案例,攻击者在这些案例中夺取了企业网络的控制权并分发了恶意软件。袭击的主要目标是韩国国防和制造工厂。
显示AhnLab 已确定与 Lazarus Group 相关的黑客组织 Andariel 是此次攻击的幕后黑手。该组织因使用 HotCroissant 和 Riffdoor 后门攻击 ERP 系统而闻名。在检测到的活动中,攻击者使用 Regsvr32.exe 进程从特定路径执行 DLL。检测到的 DLL 结果是恶意软件。黑客在代码中使用了关键字“XctMain”,这使他们能够将后门归类为Xctdoor。
Xctdoor是用Go编写的,能够将用户名、计算机名、恶意进程ID等基本信息传输到C2服务器。该后门还执行远程命令并具有数据盗窃功能,包括截屏、记录击键、记录剪贴板和传输磁盘数据。
C2为了在系统中实施 Xctdoor,使用了 XcLoader 加载程序,该加载程序是在 3 月份对 Web 服务器进行的一次集体攻击中发现的。据信,Windows IIS 8.5 版 Web 服务器中的漏洞或错误配置被用来传播恶意软件。
除了 XcLoader 与恶意软件安装相关的操作外,还检测到收集系统信息的操作。专家将此与在 Web 服务器上安装 Web shell 来执行命令的情况进行比较。
此外,在一些受影响的系统上还发现了来自 Ngrok 的日志,Ngrok 是一种隧道程序,允许通过 RDP 对受感染的系统进行远程控制,并且经常出现在 Kimsuky 组织的攻击中。