Un fornitore sudcoreano di soluzioni di pianificazione delle risorse aziendali (ERP), rimasto anonimo, è stato compromesso per via della distribuzione di una backdoor basata su Go denominata Xctdoor.
Cosa sanno di Xctdoor gli esperti di sicurezza informatica
Il Centro di Intelligence sulla Sicurezza di AhnLab (ASEC), che ha identificato l’attacco avvenuto nel maggio 2024, non ha attribuito l’incidente a un singolo o ad un gruppo di criminali informatici noti, ma ha notato che le tattiche utilizzate sovrappongono a quelle di Andariel, il cui altri non è che un sottogruppo del famigerato Lazarus Group.
Le somiglianze derivano dal precedente utilizzo della soluzione ERP da parte dell’avversario nordcoreano per distribuire malware come HotCroissant (identico a Rifdoor) nel 2017, inserendo una routine dannosa in un programma di aggiornamento software.
Nell’incidente recente analizzato da ASEC, si dice che lo stesso eseguibile sia stato manomesso per eseguire un file DLL da un percorso specifico utilizzando il processo regsvr32.exe anziché lanciare un downloader.
Xctdoor e il coinvolgimento di file DLL di Windows negli attacchi
Il file DLL, Xctdoor, è in grado di rubare informazioni di sistema, inclusi tasti digitati, screenshot e contenuto degli appunti, ed eseguire comandi emessi dal criminale informatico (o dai criminali informatici).
“Xctdoor comunica con il server di comando e controllo utilizzando il protocollo HTTP, mentre la crittografia dei pacchetti impiega l’algoritmo Mersenne Twister (MT19937) e l’algoritmo Base64“, ha detto la società di sicurezza informatica ASEC.
Nell’attacco è stato utilizzato anche un malware chiamato XcLoader, che funge da malware iniettore responsabile di iniettare Xctdoor nei processi legittimi (ad es. “explorer.exe”).
ASEC ha inoltre rilevato casi in cui server web mal configurati sono stati compromessi per installare XcLoader almeno da marzo 2024.
Il fatto si verifica mentre un altro attore di minacce collegato alla Corea del Nord, noto come Kimusky, è stato osservato utilizzare una backdoor precedentemente non documentata, denominata HappyDoor, e si stima che è in circolo almeno dal luglio 2021.
Come avvengono gli attacchi di Xctdoor
Le catene di attacco che distribuiscono il malware sfruttano e-mail di spear-phishing come punto di partenza per diffondere un file compresso, che contiene uno script JavaScript offuscato o un dropper che, quando eseguito, crea e avvia HappyDoor insieme a un file esca.
HappyDoor, un file DLL eseguito tramite regsvr32.exe, è in grado di comunicare con un server remoto tramite HTTP e facilitare il furto di informazioni, il download/caricamento di file, nonché l’aggiornamento e la terminazione di se stesso.
Segue anche una “massiccia” campagna di distribuzione di malware orchestrata dal gruppo di cyber spionaggio noto come Konni (altresì noto coi nomi di Opal Sleet, Osmium, o TA406) che prende di mira la Corea del Sud con esche di phishing che impersonano il servizio fiscale nazionale per distribuire malware in grado di rubare informazioni sensibili, ha detto il ricercatore di sicurezza Idan Tarab.
Alcune considerazioni
L’attacco che ha visto compromesso un fornitore sudcoreano di soluzioni ERP per distribuire la backdoor Xctdoor mette in luce le complesse tattiche utilizzate dai cybercriminali, in particolare quelli legati alla Corea del Nord; l’abilità di questi gruppi nel manipolare software legittimo per inserire codice dannoso evidenzia l’importanza di una rigorosa sicurezza informatica e di un costante monitoraggio delle infrastrutture IT.
La scoperta di Xctdoor e del suo malware associato, XcLoader, insieme all’uso continuativo di minacce come HappyDoor, dimostra che i cyberattacchi stanno diventando sempre più sofisticati e persistenti; oltretutto le tecniche di spear-phishing e la compromissione di server web mal configurati sono solo alcune delle molteplici vie utilizzate per infiltrarsi nei sistemi bersaglio.
Per le aziende, è essenziale adottare misure di sicurezza avanzate, come l’implementazione di sistemi di rilevamento delle intrusioni, l’aggiornamento regolare del software e la formazione continua del personale per riconoscere e segnalare tentativi di phishing e solo attraverso una combinazione di tecnologia avanzata e consapevolezza umana si può sperare di contrastare efficacemente minacce come Xctdoor e i gruppi di cybercriminali che le orchestrano.
