韩国 ERP 供应商遭黑客攻击,被悄悄安上后门
内容提要
韩国ERP供应商服务器遭到入侵,传播名为Xctdoor的后门程序。攻击手法与朝鲜Lazarus Group的Andariel类似。攻击者篡改可执行文件,窃取系统信息并执行命令。朝鲜黑客组织Kimusky使用代号为HappyDoor的后门。该攻击链利用网络钓鱼邮件传播压缩文件,窃取信息并更新自身活动。这是继Konni网络间谍组织之后的大规模恶意软件传播活动。
关键要点
-
韩国一家ERP供应商的服务器遭到入侵,传播名为Xctdoor的后门程序。
-
攻击手法与朝鲜Lazarus Group的Andariel类似,攻击者篡改可执行文件。
-
Xctdoor能够窃取系统信息,包括击键、屏幕截图和剪贴板内容,并执行命令。
-
攻击使用HTTP协议与命令与控制服务器通信,数据包加密采用MT19937和Base64算法。
-
攻击中还使用了名为XcLoader的恶意软件,负责将Xctdoor注入合法进程。
-
另一个朝鲜黑客组织Kimusky使用代号为HappyDoor的后门,早在2021年就已投入使用。
-
HappyDoor通过鱼叉式网络钓鱼邮件传播,执行时创建并运行HappyDoor和诱饵文件。
-
这是继Konni网络间谍组织之后又一起针对韩国的大规模恶意软件传播活动。
延伸问答
Xctdoor后门程序的主要功能是什么?
Xctdoor能够窃取系统信息,包括击键、屏幕截图和剪贴板内容,并执行命令。
这次攻击与哪个黑客组织有关?
这次攻击与朝鲜的Lazarus Group及其附属组织Andariel有关。
攻击者是如何传播Xctdoor的?
攻击者通过篡改可执行文件和使用鱼叉式网络钓鱼邮件传播压缩文件来传播Xctdoor。
Xctdoor是如何与命令与控制服务器通信的?
Xctdoor使用HTTP协议与命令与控制服务器通信,数据包加密采用MT19937和Base64算法。
Kimusky组织使用的后门程序是什么?
Kimusky组织使用的后门程序代号为HappyDoor。
这次攻击的规模如何?
这是继Konni网络间谍组织之后又一起针对韩国的大规模恶意软件传播活动。
