Xctdoor バックドア
韓国のERP(エンタープライズ・リソース・プランニング)ベンダーの更新サーバーが侵害され、XctdoorというGoベースのバックドアが配布されているのが発見された。研究者らは2024年5月にこの攻撃を発見し、特定の脅威アクターやグループを特定しなかったものの、悪名高いLazarus Groupに関連するサブグループであるAndarielが使用した戦術との類似点を指摘した。
こうした戦術は、2017 年に ERP ソリューションを悪用して HotCroissant (別名Rifdoor ) などのマルウェアを拡散した北朝鮮の攻撃者が関与した過去の事件を彷彿とさせます。これは、ソフトウェア更新メカニズムに悪意のあるコードを埋め込むことで実現しました。
目次
Xctdoorバックドアは攻撃者に数多くの有害な機能を提供する
攻撃分析中に、実行可能ファイルがダウンローダーを起動する代わりに、regsvr32.exe プロセスを使用して特定のパスから DLL ファイルを実行するように変更されたことが判明しました。Xctdoor と呼ばれるこの DLL ファイルには、キーストローク、スクリーンショット、クリップボードの内容などのシステム情報をキャプチャし、攻撃者が発行したコマンドを実行する機能があります。
Xctdoor は、メルセンヌツイスター (MT19937) と Base64 アルゴリズムを利用したパケット暗号化を使用して、HTTP 経由でコマンド アンド コントロール (C2) サーバーと通信します。この攻撃には、XcLoader という別のマルウェア バリアントも含まれており、これは「explorer.exe」などの正当なプロセスに Xctdoor を挿入するように設計されています。最近の調査結果によると、少なくとも 2024 年 3 月以降、セキュリティが不十分な Web サーバーが侵害され、XcLoader がインストールされた事例がいくつかありました。
他のマルウェア脅威によって悪用される同じプロセス
regsvr32.exe プロセスは、北朝鮮に関連する他の攻撃でも悪用されており、特に Kimsuky APT グループによって悪用されています。同グループは、少なくとも 2021 年 7 月から運用されている、HappyDoor という非公開のバックドアを利用しています。
これらの攻撃シーケンスは、通常、圧縮ファイルを配布するスピアフィッシング メールから始まります。このアーカイブ内には難読化された JavaScript またはドロッパーが含まれており、これを実行すると、デコイ ファイルとともに HappyDoor が起動します。regsvr32.exe を通じて DLL ファイルとして実装された HappyDoor は、HTTP 経由でリモート サーバーとの通信を確立します。その機能には、データ盗難、ファイルのダウンロード/アップロード機能、プロセスの自己更新と終了機能などがあります。
バックドア感染は被害者に深刻な結果をもたらす可能性がある
バックドア マルウェア感染の被害者は、これらの脅威のステルス性と持続性により、深刻な結果に直面する可能性があります。潜在的な影響は次のとおりです。
- データ盗難: バックドアにより、攻撃者はログイン認証情報、財務データ、知的財産、個人ファイルなどの個人情報を収集できる場合が多くあります。収集されたデータは、金銭的利益を得るために悪用されたり、さらなる攻撃に使用されたりする可能性があります。
- 監視とモニタリング: バックドアにより、攻撃者はキー入力、スクリーンショット、ウェブカメラのフィード、マイクの入力など、被害者の活動を監視および監視できるようになります。このプライバシーの侵害は、個人または企業のスパイ活動につながる可能性があります。
- 不正アクセス: 攻撃者は侵害されたシステムへの不正アクセスを長期間にわたって取得できます。このアクセスは、システムを操作または破壊したり、操作を妨害したり、追加のマルウェアを展開したりするために使用される可能性があります。
- システムの侵害: バックドアは、多くの場合、システムの全体的なセキュリティ体制を弱め、さらなる悪用に対して脆弱にします。これにより、ネットワーク内の他の接続されたシステムやリソースが侵害される可能性があります。
- 経済的損失: 企業は、資金の盗難、ビジネス機会の喪失、法的責任、修復および回復の取り組みに関連するコストにより、経済的損失を被る可能性があります。
- 評判の失墜: 組織にとって、バックドア感染は評判の失墜、顧客の信頼の喪失、ブランド価値の低下につながる可能性があります。これは、ビジネス関係や業務に長期的な影響を及ぼす可能性があります。
- 運用の中断: バックドアは、システム クラッシュ、速度低下、またはサービス拒否状態を引き起こし、通常の運用を中断させる可能性があります。これにより、サービスの中断によるダウンタイム、生産性の低下、および財務への影響が発生する可能性があります。
- 規制およびコンプライアンスの問題: 侵害されたシステムがプライバシー法や業界規制の対象となる機密データを処理している場合、組織は規制上の罰金や法的措置に直面する可能性があります。
- 検出と削除の難しさ: バックドアは、マルウェア対策ソフトウェアやファイアウォールなどのセキュリティ対策による検出を回避するように設計されています。バックドアを完全に検出して削除することは困難であり、専門的な知識とツールが必要です。
- 長期的な脆弱性: 初期の修復後でも、侵害されたシステムは、将来の攻撃や、執拗な攻撃者によるバックドアの再アクティブ化の試みに対して脆弱なままになる可能性があります。
全体として、バックドア マルウェア感染の影響は深刻かつ多面的であり、個人と組織の両方に経済的、運用的、評判上の損害、およびプライバシーとセキュリティの侵害の面で影響を及ぼします。
