Sommario
Il Centro di Intelligence sulla Sicurezza di AhnLab (ASEC) ha recentemente scoperto un caso in cui un attore di minacce non identificato ha sfruttato una soluzione ERP coreana per eseguire un attacco backdoor Xctdoor. Dopo aver infiltrato il sistema, l’attore di minacce ha attaccato il server di aggiornamento di una specifica soluzione ERP coreana per prendere il controllo dei sistemi all’interno dell’azienda. In un altro caso di attacco, un server web vulnerabile è stato attaccato per distribuire malware. Gli obiettivi di questi attacchi sono stati identificati nelle industrie della difesa e della produzione coreane.
Tra i malware identificati, vi è una forma in cui una routine malevola è stata inserita nel programma di aggiornamento di una soluzione ERP esistente. Questo metodo è simile a un caso del 2017, quando il gruppo Andariel lo utilizzò per installare la backdoor HotCroissant.
Precedenti Attacchi del Gruppo Andariel
Rifdoor è una backdoor usata dal gruppo Andariel, un sottogruppo del noto Lazarus group. È stato scoperto per la prima volta nel novembre 2015 e la sua attività è stata confermata fino ai primi mesi del 2016. A partire dal 2017, una variante di Rifdoor è stata utilizzata in attacchi, identificata come identica a HotCroissant del Lazarus group, un backdoor rivelato dalla CISA degli Stati Uniti e da VMware’s Carbon Black nel 2020.
Tra i casi di attacco che utilizzano HotCroissant, vi è stato un incidente nel 2017 in cui una soluzione ERP coreana è stata sfruttata per distribuire malware. L’attore di minacce ha inserito una routine malevola nel programma di aggiornamento “ClientUpdater.exe”, presumibilmente per propagare internamente dopo aver violato un’organizzazione specifica.
Caso di Attacco Recente – ERP
Un caso di attacco simile è stato identificato nel maggio 2024. Diversamente dall’incidente passato in cui una routine di downloader era inserita in “ClientUpdater.exe”, questa volta una routine è stata inserita per eseguire una DLL da un percorso specifico utilizzando il processo Regsvr32.exe.
La DLL identificata è risultata essere un malware capace di rubare informazioni di sistema ed eseguire comandi dell’attore di minacce. Questo suggerisce che, similmente all’incidente passato, il server di aggiornamento di una specifica ERP è stato attaccato. La DLL finale è stata classificata come Xctdoor, sviluppata in linguaggio Go e progettata per essere eseguita tramite il processo Regsvr32.exe.
Caso di Attacco Recente – Server Web
Nel marzo 2024, sono stati confermati casi in cui i server web sono stati attaccati per installare XcLoader. Considerando che gli obiettivi erano server web Windows IIS versione 8.5, sviluppata nel 2013, si presume che il malware sia stato propagato sfruttando configurazioni scadenti o una vulnerabilità.
XcLoader utilizzato nell’attacco funziona in modo simile al tipo sviluppato in linguaggio Go, leggendo e decifrando il file “roaming.dat” nella stessa directory e iniettandolo nei processi. La differenza è che nel caso di maggio 2024, il file “roaming.dat” è in formato PE, mentre in questo caso è crittografato. XcLoader prende di mira principalmente il processo explorer.exe per l’iniezione, ma a volte seleziona anche il processo “sihost.exe”.
ASEC monitora le minacce persistenti avanzate (APT) e ha recentemente confermato casi di attacchi che sfruttano una soluzione ERP coreana. Similmente ai metodi utilizzati in precedenza dal gruppo Andariel, l’attore di minacce ha sfruttato la soluzione ERP per propagare malware all’interno delle aziende. Gli attacchi recenti sono stati confermati nel maggio 2024, prendendo di mira il settore della difesa, ma attacchi simili si verificano da tempi precedenti.
Gli utenti devono essere particolarmente cauti riguardo agli allegati nelle email da fonti sconosciute e ai file eseguibili scaricati dalle pagine web. Gli amministratori della sicurezza aziendale devono migliorare il monitoraggio dei programmi di gestione delle risorse e applicare patch per eventuali vulnerabilità di sicurezza nei programmi. È importante applicare l’ultima patch per il sistema operativo e i programmi come i browser Internet e aggiornare V3 all’ultima versione per prevenire le infezioni da malware in anticipo.
