One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8526193 |
| Date de publication | 2024-06-26 20:06:12 (vue: 2024-06-26 21:07:26) |
| Titre | Les logiciels malveillants XCTDOOOR étant utilisés pour attaquer les entreprises nationales Xctdoor malware being used to attack domestic companies |
| Texte | #### Géolocations ciblées
- Corée
#### Industries ciblées
- Base industrielle de la défense
- Fabrication critique
## Instantané
Ahnlab Security Intelligence Center (ASEC) a identifié une attaque récente ciblant les sociétés coréennes en utilisant le malware XCTDOOOR.Les attaquants ont initialement infiltré des systèmes en ciblant le serveur de mise à jour d'une entreprise spécifique de planification des ressources d'entreprise (ERP), affectant les sociétés de défense et de fabrication.
## Description
Dans cette attaque, les acteurs de la menace ont ciblé le serveur de mise à jour d'un système ERP spécifique pour déployer le logiciel malveillant de porte dérobée XCTDOOOR.Ce logiciel malveillant, développé dans le langage Go, utilise le processus RegSVR32.exe pour exécuter des fichiers DLL et s'injecter dans des processus système comme taskhost.exe et explorateur.exe.Il réalise la persistance en se copie sur un chemin spécifique et en créant un raccourci dans le dossier de démarrage.XCTDOOR, une fois opérationnel, communique avec un serveur de commande et de contrôle (C & C) utilisant le protocole HTTP, cryptant sa communication avec les algorithmes Mersenne Twister et Base64.Il peut exécuter les commandes reçues du serveur C&C, la capture de captures d'écran, les touches de journal et le volet du presse-papiers et des informations supplémentaires.
L'attaque impliquait également le malware de l'injecteur XCLoader, qui est responsable de l'injection de la charge utile XCTDOOOR dans les processus système.Xcloader s'est avéré être développé dans les langues C et GO et a été vu dans des attaques récentes contre les serveurs Web de Windows IIS, exploitant des vulnérabilités ou des erreurs de configuration.Les journaux d'attaque ont montré l'exécution des commandes pour collecter des informations système et éventuellement installer des shells Web, indiquant un compromis approfondi des systèmes ciblés.De plus, l'utilisation de Ngrok - un programme de tunneling - suggère aux attaquants destinés à maintenir un accès à distance pour une nouvelle exploitation.
AhnLabs n'attribue pas l'attaque, mais rapporte que les TTP ressemblent à l'activité antérieure par le groupe de menaces sponorées de l'État nord-coréenNdariel, suivi par Microsoft comme [Onyx Sleet] (https://ssecurity.microsoft.com/intel-profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bAD8833C0).
## Détections / requêtes de chasse
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- [Trojan: Win32 / Tiggre] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/tiggre&theretid=-2147242786)
## Les références
[Xctdoor malware utilisés pour attaquer les sociétés nationales] (https://asec.ahnlab.com/ko/67034/).Ahnlab Security Intelligence Center (ASEC) (consulté en 2024-06-25)
#### Targeted Geolocations - Korea #### Targeted Industries - Defense Industrial Base - Critical Manufacturing ## Snapshot AhnLab Security Intelligence Center (ASEC) identified a recent attack targeting Korean companies using the Xctdoor malware. The attackers initially infiltrated systems by targeting the update server of a specific Korean enterprise resource planning (ERP) company, affecting defense and manufacturing companies. ## Description In this attack, the threat actors targeted the update server of a specific ERP system to deploy the Xctdoor backdoor malware. This malware, developed in the Go language, uses the Regsvr32.exe process to execute DLL files and inject itself into system processes like taskhost.exe and explorer.exe. It achieves persistence by copying itself to a specific path and creating a shortcut in the startup folder. Xctdoor, once operational, communicates with a command and control (C&C) server using |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### 2024 2147242786 access accessed achieves activity actors additional additionally affecting against ahnlab ahnlabs alerts algorithms also andariel asec attack attackers attacks attrribute backdoor base base64 being both but c&c can capture center clipboard com/en com/intel com/ko/67034/ command commands communicates communication companies company compromise control copying creating critical defense deploy description detections/hunting developed dll does domestic encrypting encyclopedia enterprise erp exe execute execution exploitation exploiting explorer files folder following found from further gather geolocations group http https://asec https://ssecurity https://www identified iis indicate indicating industrial industries infiltrated information initially inject injecting injector install intelligence intended involved its itself keystrokes korea korean language languages like log logs maintain malware manufacturing mersenne microsoft misconfigurations name=trojan:win32/tiggre&threatid= network: ngrok north not once onyx operational path payload persistence planning possibly previous process processes profiles/03ced82eecb35bdb459c47b7821b9b055d1dfa00b56dc1b06f59583bad8833c0 program protocol queries received recent references regsvr32 remote reports resemble resource responsible screenshots security seen server servers shells shortcut showed sleet snapshot specific sponored startup state steal suggests system systems targeted targeting taskhost thorough threat titles tracked trojan:win32/tiggre ttps tunneling twister update us/wdsi/threats/malware use used uses using vulnerabilities web which windows xcloader xctdoor your |
| Tags | Malware Vulnerability Threat Industrial |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.