بکدور Xctdoor در حمله به شرکت‌های کره‌ای مورد استفاده قرار گرفت

مرکز اطلاعات امنیتی AhnLab (ASEC) اخیرا موردی را کشف کرده است که در آن یک مهاجم سایبری ناشناس از یک نرم افزار ERP یک شرکت کره جنوبی برای ارائه بکدور Xctdoor سوء استفاده کرده است.

بکدور Xctdoor با فرمت DLL و به زبان Go توسعه یافته است و به گونه‌ای طراحی شده است که از طریق فرآیند Regsvr32.exe اجرا می‌شود.

تحلیل فنی بکدور Xctdoor

بکدور Xctdoor به هنگام اجرا، خود را به فرآیندهایی مانند “taskhost.exe””، “taskhostex.exe”، “taskhostw.exe”  و “explorer.exe” تزریق می‌کند. این بکدور متعاقباً خود را در مسیر “%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge.Current_8wekyb3d8bbwe\Settings\roaming.dat ” کپی کرده و یک فایل شورتکات در پوشه startup  ایجاد می‌کند تا مطمئن شود که پس از راه اندازی مجدد سیستم باز هم اجرا خواهد شد.

فایل شورتکات “MicrosoftEdge.lnk” مستقیماً “roaming.dat” را اجرا نمی‌کند، بلکه از Regsvr32.exe برای اجرای فایل “settings.lock” واقع در همان مسیر استفاده می‌کند.

ASEC این حمله را به هیچ گروهی نسبت نداده است اما اعلام کرد که تاکتیک‌‌های استفاده شده در این حمله با متدهای Andariel، یک گروه فرعی زیرشاخه Lazarus (لازاروس) همپوشانی دارند. گروه Andariel (هکرهای کره شمالی) در سال ۲۰۱۷ از این متد برای نصب بکدور HotCroissant سوء استفاده کرده است.

فایل DLL بکدور Xctdoor، قادر به ربودن اطلاعات سیستم و محتوای کلیپ بورد، کلیدهای فشرده شده کیبورد، تهیه اسکرین شات و اجرای دستورات صادر شده توسط هکر است.