2024: Серверы южнокорейского производителя ERP-систем взломаны. Теперь по всему миру атакуют компании
1 июля 2024 года аналитический центр AhnLab SEcurity intelligence Center (ASEC) сообщил о взломе серверов неназванного южнокорейского производителя ERP-систем. После вторжения злоумышленники начали атаковать компании по всему миру, а основными целями являются корейские оборонные и производственные предприятия.
Сообщается, что кибернападения осуществляются как минимум с мая 2024-го. Какая именно группировка стоит за новой схемой, не ясно. Однако специалисты ASEC подчеркивают, что применяемая тактика схожа с методами хакеров Andariel, которые связаны с группой Lazarus Group. Последняя, в свою очередь, имеет отношение к Северной Корее.
В рамках киберкампании злоумышленники взломали сервер обновлений ERP-платформы. В ходе атаки процесс Regsvr32.exe был задействован для обработки библиотеки DLL по определенному пути. Обнаруженная DLL оказалась вредоносной программой: под этот файл замаскирован бэкдор, идентифицируемый как Xctdoor. Зловред способен красть системную информацию, включая нажатия клавиш, снимки экрана и содержимое буфера обмена, а также выполнять команды злоумышленников. В атаке также используется вредоносное ПО под названием XcLoader, которое выполняет роль инжектора, отвечающего за внедрение Xctdoor в легитимные процессы (например, explorer.exe).Перейти на налоговый мониторинг за 6 месяцев: опыт «Татспиртпром» 
Специалисты ASEC подчеркивают, что в ходе этой киберкампании впервые обнаружена версия XcLoader на языке Go, тогда как ранее в схожих атаках использовалась модификация XcLoader на языке C. Зловред Xctdoor взаимодействует с командным сервером по протоколу HTTP, а для шифрования пакетов используются алгоритмы Mersenne Twister (mt19937) и Base64. Для распространения вредоносного ПО могут эксплуатироваться уязвимости или ошибки конфигурации веб-серверов Windows IIS 8.5.[1]
