Porte dérobée Xctdoor

Le serveur de mise à jour d'un fournisseur sud-coréen d'ERP (Enterprise Resource Planning) a été découvert compromis, distribuant une porte dérobée basée sur Go nommée Xctdoor. Les chercheurs ont découvert cette attaque en mai 2024 et, même s'ils n'ont pas identifié un acteur ou un groupe menaçant spécifique, ils ont noté des similitudes avec les tactiques utilisées par Andariel , un sous-groupe lié au célèbre groupe Lazarus .

Ces tactiques font écho à des incidents passés impliquant l'adversaire nord-coréen, qui avait déjà exploité la solution ERP pour diffuser des logiciels malveillants tels que HotCroissant (également connu sous le nom de Rifdoor ) en 2017. Cela a été réalisé en implantant un code malveillant dans un mécanisme de mise à jour logicielle.

La porte dérobée Xctdoor offre aux attaquants de nombreuses capacités nuisibles

Au cours de l'analyse de l'attaque, il a été déterminé que l'exécutable avait été modifié pour exécuter un fichier DLL à partir d'un chemin spécifique à l'aide du processus regsvr32.exe au lieu de lancer un téléchargeur. Ce fichier DLL, connu sous le nom de Xctdoor, possède des capacités permettant de capturer des informations système telles que les frappes au clavier, les captures d'écran et le contenu du presse-papiers, ainsi que d'exécuter des commandes émises par l'attaquant.

Xctdoor communique avec un serveur de commande et de contrôle (C2) via HTTP, avec un cryptage de paquets utilisant les algorithmes Mersenne Twister (MT19937) et Base64. L'attaque implique également une autre variante de malware nommée XcLoader, conçue pour injecter Xctdoor dans des processus légitimes tels que « explorer.exe ». Des découvertes récentes indiquent des cas où des serveurs Web insuffisamment sécurisés ont été compromis pour installer XcLoader depuis au moins mars 2024.

Le même processus utilisé par d'autres menaces de logiciels malveillants

Le processus regsvr32.exe a été exploité dans d'autres campagnes liées à la Corée du Nord, notamment par le groupe Kimsuky APT. Ils ont utilisé une porte dérobée non divulguée nommée HappyDoor, opérationnelle depuis au moins juillet 2021.

Ces séquences d'attaque commencent généralement par des e-mails de spear phishing distribuant un fichier compressé. Dans cette archive, un JavaScript ou un compte-gouttes obscurci est trouvé, qui, lors de son exécution, lance HappyDoor avec un fichier leurre. HappyDoor, implémenté sous forme de fichier DLL via regsvr32.exe, établit une communication avec un serveur distant via HTTP. Ses fonctionnalités incluent le vol de données, les capacités de téléchargement/téléchargement de fichiers et la possibilité de se mettre à jour automatiquement et de mettre fin aux processus.

Les infections par porte dérobée peuvent avoir de graves conséquences pour les victimes

Les victimes d’infections par des logiciels malveillants par porte dérobée peuvent subir de graves conséquences en raison de la nature furtive et persistante de ces menaces. Voici quelques impacts potentiels :

• Vol de données : les portes dérobées permettent souvent aux attaquants de récolter des informations privées telles que les identifiants de connexion, les données financières, la propriété intellectuelle et les fichiers personnels. Ces données collectées peuvent être exploitées à des fins financières ou utilisées dans d’autres attaques.
• Surveillance et surveillance : les portes dérobées peuvent permettre aux attaquants de surveiller et de surveiller les activités de la victime, y compris les frappes au clavier, les captures d'écran, les flux de webcam et les entrées du microphone. Cette atteinte à la vie privée peut conduire à de l'espionnage personnel ou d'entreprise.
• Accès non autorisé : les attaquants peuvent obtenir un accès non autorisé prolongé aux systèmes compromis. Cet accès peut être utilisé pour manipuler ou saboter les systèmes, perturber les opérations ou même déployer des logiciels malveillants supplémentaires.
• Compromission du système : les portes dérobées affaiblissent souvent la sécurité globale du système, le rendant vulnérable à une exploitation ultérieure. Cela peut conduire à la compromission d’autres systèmes ou ressources connectés au sein du réseau.
• Perte financière : les entreprises peuvent subir des pertes financières en raison du vol de fonds, de la perte d'opportunités commerciales, des responsabilités juridiques et des coûts associés aux efforts de réparation et de rétablissement.
• Dommages à la réputation : pour les organisations, une infection par porte dérobée peut entraîner des dommages à la réputation, une perte de confiance des clients et une diminution de la valeur de la marque. Cela peut avoir des conséquences à long terme sur les relations commerciales et les opérations.
• Perturbation opérationnelle : les portes dérobées peuvent perturber les opérations normales en provoquant des pannes du système, des ralentissements ou des conditions de déni de service. Cela peut entraîner des temps d'arrêt, une perte de productivité et des impacts financiers dus à l'interruption des services.
• Problèmes de réglementation et de conformité : les organisations peuvent être confrontées à des amendes réglementaires et à des conséquences juridiques si les systèmes compromis traitent des données sensibles soumises aux lois sur la confidentialité ou aux réglementations du secteur.
• Difficulté de détection et de suppression : les portes dérobées sont conçues pour échapper à la détection par des mesures de sécurité telles que des logiciels anti-malware et des pare-feu. Les détecter et les supprimer complètement peut être difficile, nécessitant des connaissances et des outils spécialisés.
• Vulnérabilité à long terme : même après une correction initiale, les systèmes compromis peuvent rester vulnérables à de futures attaques ou à des tentatives persistantes de réactivation de portes dérobées par des attaquants déterminés.

Dans l’ensemble, les conséquences des infections par des logiciels malveillants par porte dérobée peuvent être graves et multiformes, impactant à la fois les individus et les organisations en termes de dommages financiers, opérationnels et de réputation, ainsi que compromettant leur vie privée et leur sécurité.