Er is vastgesteld dat de productupdateserver van een niet bij naam genoemde Zuid-Koreaanse ERP-leverancier is gehackt en een Go-gebaseerde backdoor met de naam Xctdoor heeft geïnstalleerd.
Het AhnLab Security Intelligence Center (ASEC), dat de aanval in mei 2024 identificeerde, heeft deze niet toegeschreven aan een bekende dreigingsactor of groep, maar merkte wel op dat de tactieken overlappen met die van Andariel, een subcluster binnen de beruchte Lazarus Group.
De overeenkomsten komen voort uit het eerdere gebruik van een ERP-oplossing door de Noord-Koreaanse tegenstander om malware zoals HotCroissant te verspreiden, dat identiek is aan Rifdoor, in 2017 door een kwaadaardige routine in een software-updateprogramma te plaatsen.
In het recente incident dat ASEC analyseerde, zou hetzelfde uitvoerbare bestand zijn gemanipuleerd om een DLL-bestand uit te voeren vanaf een specifiek pad met behulp van het proces regsvr32.exe in plaats van een downloader te starten.
Het DLL-bestand Xctdoor kan systeemgegevens stelen, waaronder toetsaanslagen, schermafbeeldingen en de inhoud van het klembord, en opdrachten uitvoeren die door de kwaadwillende partij worden gegeven.
“Xctdoor communiceert met de (command-and-control) server via het HTTP-protocol, terwijl de pakketversleuteling gebruikmaakt van het Mersenne Twister (MT19937)-algoritme en het Base64-algoritme”, aldus ASEC.
Bij de aanval wordt ook malware met de naam XcLoader gebruikt. Deze malware fungeert als injectormalware en injecteert Xctdoor in legitieme processen (bijvoorbeeld ‘explorer.exe’).
ASEC meldde dat het sinds ten minste maart 2024 ook gevallen heeft ontdekt waarbij slecht beveiligde webservers zijn gehackt om XcLoader te installeren.
Deze ontwikkeling komt nadat is vastgesteld dat een andere aan Noord-Korea gelinkte dreigingsactor, Kimusky genaamd, een tot nu toe niet gedocumenteerde backdoor met de codenaam HappyDoor gebruikte. Deze backdoor werd al in juli 2021 gebruikt.
Aanvalsketens die de malware verspreiden, maken gebruik van spear-phishing-e-mails als uitgangspunt om een gecomprimeerd bestand te verspreiden. Dit bestand bevat een verhulde JavaScript-code of dropper die, wanneer deze wordt uitgevoerd, HappyDoor samen met een lokaasbestand aanmaakt en uitvoert.
HappyDoor, een DLL-bestand dat wordt uitgevoerd via regsvr32.exe, kan via HTTP communiceren met een externe server en kan gegevensdiefstal, het downloaden/uploaden van bestanden en het updaten en beëindigen van zichzelf vergemakkelijken.
Het is ook het gevolg van een ‘enorme’ malware-distributiecampagne georkestreerd door de cyberspionagegroep Konni (ook bekend als Opal Sleet, Osmium of TA406) die Zuid-Korea als doelwit had met phishing-trucs die zich voordeden als lokmiddelen van de nationale belastingdienst. De bedoeling was om malware te verspreiden die gevoelige informatie kon stelen, aldus beveiligingsonderzoeker Idan Tarab.
