Foi descoberto que o servidor de atualização de produtos de um fornecedor sul-coreano não identificado de planejamento de recursos empresariais (ERP) foi comprometido para fornecer um backdoor baseado em Go chamado Xctdoor.
O AhnLab Safety Intelligence Heart (ASEC), que identificou o ataque em maio de 2024, não o atribuiu a um grupo ou agente de ameaça conhecido, mas observou que as táticas se sobrepõem às do Andariel, um subgrupo dentro do infame Lazarus Group.
As semelhanças decorrem do uso anterior da solução de ERP pelo adversário norte-coreano para distribuir malware como o HotCroissant — que é idêntico ao Rifdoor — em 2017, inserindo uma rotina maliciosa em um programa de atualização de software program.
No incidente recente analisado pela ASEC, o mesmo executável teria sido adulterado para executar um arquivo DLL de um caminho específico usando o processo regsvr32.exe em vez de iniciar um downloader.
O arquivo DLL, Xctdoor, é capaz de roubar informações do sistema, incluindo pressionamentos de teclas, capturas de tela e conteúdo da área de transferência, além de executar comandos emitidos pelo agente da ameaça.
“O Xctdoor se comunica com o servidor (de comando e controle) usando o protocolo HTTP, enquanto a criptografia de pacotes emprega o algoritmo Mersenne Tornado (MT19937) e o algoritmo Base64”, disse a ASEC.
Também foi usado no ataque um malware chamado XcLoader, que serve como um malware injetor responsável por injetar o Xctdoor em processos legítimos (por exemplo, “explorer.exe”).
A ASEC disse que detectou ainda casos em que servidores net mal protegidos foram comprometidos para instalar o XcLoader desde pelo menos março de 2024.
O desenvolvimento ocorre no momento em que outro agente de ameaça vinculado à Coreia do Norte, conhecido como Kimusky, foi observado empregando um backdoor anteriormente não documentado, com o codinome HappyDoor, que foi colocado em uso já em julho de 2021.
As cadeias de ataque que distribuem o malware utilizam e-mails de spear-phishing como ponto de partida para disseminar um arquivo compactado, que contém um JavaScript ofuscado ou um dropper que, quando executado, cria e executa o HappyDoor junto com um arquivo chamariz.
HappyDoor, um arquivo DLL executado through regsvr32.exe, é equipado para se comunicar com um servidor remoto through HTTP e facilitar o roubo de informações, baixar/carregar arquivos, bem como atualizar e se autodestruir.
Também ocorre após uma campanha “massiva” de distribuição de malware orquestrada pelo grupo de espionagem cibernética Konni (também conhecido como Opal Sleet, Osmium ou TA406), que tem como alvo a Coreia do Sul com iscas de phishing que se passam pelo serviço tributário nacional para distribuir malware capaz de roubar informações confidenciais, disse o pesquisador de segurança Idan Tarab.
