Специалисты AhnLab выявили случаи атак на корейские ERP-системы, в ходе которых злоумышленники захватили контроль над корпоративными сетями и распространили вредоносное ПО. Основными целями атак стали корейские оборонные и производственные предприятия.
AhnLab установила, что за атакой стоит хакерская группировка Andariel, связанная с Lazarus Group. Группа уже известна своими атаками на ERP-системы с использованием бэкдоров HotCroissant и Riffdoor. В обнаруженной кампании злоумышленники использовали процесс Regsvr32.exe для выполнения DLL из определенного пути. Обнаруженная DLL оказалась вредоносной программой. Хакеры использовали в коде ключевое слово “XctMain”, что позволило классифицировать бэкдор как Xctdoor.
Xctdoor написан на Go и способен передавать на ” data-html=”true” data-original-title=”C2″ >C2-сервер основную информацию, такую как имя пользователя, имя компьютера и идентификатор вредоносного процесса. Бэкдор также выполняет удаленные команды и обладает функциями кражи данных, включая создание скриншотов, регистрацию нажатий клавиш, логирование буфера обмена и передачу данных о дисках.
Для внедрения Xctdoor в систему используется загрузчик XcLoader, который был обнаружен в марте во время атаки группы на веб-серверы. Предполагается, что для распространения вредоносного ПО использовались уязвимости или неправильные настройки веб-серверов Windows IIS версии 8.5.
Помимо действий XcLoader, связанных с установкой вредоносного ПО, были обнаружены действия по сбору системной информации. Специалисты сравнивают это со случаем, когда на веб-серверах устанавливаются веб-оболочки для выполнения команд.
Кроме того, в некоторых затронутых системах были также обнаружены журналы Ngrok -программы туннелирования, которая позволяет установить удаленное управление через RDP на зараженных системах и часто наблюдается в атаках, приписываемых группе Kimsuky.
Центр ASEC продолжает мониторинг угроз, связанных с атаками на корейские ERP-решения. Подобные методы использовались группой Andariel, и злоумышленники продолжают использовать уязвимости для распространения вредоносного ПО внутри компаний.
Пользователи должны быть особенно внимательны к вложениям в письмах от неизвестных отправителей и исполняемым файлам, загруженным с веб-страниц. Администраторам необходимо усилить мониторинг ERP-программ и устанавливать исправления для уязвимостей. Пользователи также должны обновлять операционные системы и программы до последних версий, чтобы предотвратить заражение вредоносным ПО.