详细内容或原文请订阅后点击阅览
恶意分子劫持韩国 ERP 供应商的更新系统以传播恶意软件
臭名昭著的“Andariel”团队利用 HotCroissant 后门发动新一轮攻击据韩国信息安全机构 AhnLab 称,一家韩国 ERP 供应商的产品更新服务器遭到攻击,并被用来提供恶意软件而不是产品更新。
来源:The Register _恶意软件据韩国信息安全机构 AhnLab 称,一家韩国 ERP 供应商的产品更新服务器遭到攻击,并被用于提供恶意软件而不是产品更新。
AhnLab 安全情报中心 (ASEC) 周一发布的帖子没有透露这家 ERP 供应商的名字,但指出攻击者的策略类似于与朝鲜有关的 Andariel 组织(Lazarus Group 的子公司)使用的策略。
帖子 AndarielASEC 的研究人员写道,Andariel 已经安装了名为 HotCroissant 和 Riffdoor 的后门,并且据观察,它通过修改 ClientUpdater.exe 来针对 ERP 系统提供恶意更新。
ClientUpdater.exe
在 ASEC 检测到的最近事件中,攻击者插入了一个例程,使用 Regsvr32.exe 进程从特定路径执行 DLL。韩国研究人员将该 DLL 命名为 Xctdoor,并将该恶意软件评为“能够窃取系统信息并执行威胁行为者的命令”。他们认为,这可能是由于对 ERP 更新服务器的攻击而发生的。
Regsvr32.exe
“威胁行为者可以通过此恶意软件控制受感染的系统并泄露信息,”ASEC 指出。
“最终执行的 Xctdoor 是一个后门,它将用户名、计算机名称和恶意软件的 PID 等基本信息传输到 C&C 服务器,并可以执行从中收到的命令,”研究人员写道。“此外,它还支持信息窃取功能,例如屏幕截图、键盘记录、剪贴板记录和传输驱动器信息。”
Andariel 主要攻击金融机构、政府实体和国防承包商,经常试图窃取资金或敏感信息,但据了解,它还涉足医疗保健和其他领域。
医疗保健最近的袭击针对的是国防部门,但距离对制造业等其他行业的袭击仅相隔数月。