【安全圈】韩国 ERP 供应商遭黑客攻击，被悄悄安上后门

文章预览

关键词 恶意攻击 据The Hacker News消息，一家未具名的韩国企业资源规划（ERP）供应商服务器被发现遭到入侵，从而传播了一个名为Xctdoor的基于Go的后门程序。 AhnLab安全情报中心（ASEC）于2024年5月发现了这一攻击，指出其攻击手法与朝鲜恶意软件组织Lazarus Group的一附属组织Andariel类似。该组织曾于2017年通过在软件更新程序中插入恶意程序的方式，利用ERP解决方案传播HotCroissant等恶意软件。 在ASEC最近分析的事件中，攻击者通过可执行文件被篡改，使用regsvr32.exe进程从特定路径执行一个DLL文件，该文件能够窃取系统信息，包括击键、屏幕截图和剪贴板内容，并执行攻击者发出的命令。 ASEC 表示，Xctdoor 使用 HTTP 协议与命令与控制服务器通信，而数据包加密则采用MT19937算法和 Base64 算法。攻击中还使用了一个名为 XcLoader 的恶意软件，这是一个注入器恶意 ………………………………