韩国 ERP 供应商遭黑客攻击,被悄悄安上后门
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
韩国ERP供应商服务器遭到入侵,传播名为Xctdoor的后门程序。攻击手法与朝鲜Lazarus Group的Andariel类似。攻击者篡改可执行文件,窃取系统信息并执行命令。朝鲜黑客组织Kimusky使用代号为HappyDoor的后门。该攻击链利用网络钓鱼邮件传播压缩文件,窃取信息并更新自身活动。这是继Konni网络间谍组织之后的大规模恶意软件传播活动。
🎯
关键要点
- 韩国一家ERP供应商的服务器遭到入侵,传播名为Xctdoor的后门程序。
- 攻击手法与朝鲜Lazarus Group的Andariel类似,攻击者篡改可执行文件。
- Xctdoor能够窃取系统信息,包括击键、屏幕截图和剪贴板内容,并执行命令。
- 攻击使用HTTP协议与命令与控制服务器通信,数据包加密采用MT19937和Base64算法。
- 攻击中还使用了名为XcLoader的恶意软件,负责将Xctdoor注入合法进程。
- 另一个朝鲜黑客组织Kimusky使用代号为HappyDoor的后门,早在2021年就已投入使用。
- HappyDoor通过鱼叉式网络钓鱼邮件传播,执行时创建并运行HappyDoor和诱饵文件。
- 这是继Konni网络间谍组织之后又一起针对韩国的大规模恶意软件传播活动。
➡️
