韩国ERP系统的更新服务器遭到供应链攻击,北韩黑客Andariel借此散布恶意程序
支付動態 · 2024-07-04

本周资安业者AhnLab揭露锁定韩国ERP系统更新服务器的攻击行动,对方意图散布名为Xctdoor的后门程序,值得留意的是,黑客如何入侵更新服务器而得逞,目前仍不得而知

黑客锁定软件产业发动供应链攻击的情况频传,例如:窜改上架WordPress的插件程序对网站植入恶意代码、印度软件开发商的安装档被植入窃资软件,还有影响数十个网站的polyfill的资安事故,如今有人锁定ERP的更新系统,企图对用户电脑植入恶意软件。

资安业者AhnLab揭露针对特定韩国ERP系统更新服务器的攻击行动,这起事故发生在今年5月,他们目前尚未厘清攻击者如何入侵,但找到可疑的DLL程序库,经分析后确认是能够窃取系统信息及运行攻击者命令的后门程序Xctdoor,此恶意程序以Go语言打造而成,攻击者通过Regsvr32.exe的处理进程加载运行。

当这个恶意程序启动后,会将自己注入taskhost.exe、taskhostex.exe、taskhostw.exe、explorer.exe等其他系统的处理进程当中,接着,该恶意程序还会把恶意程序文件拷贝到特定路径,并在电脑的启动文件夹添加捷径,目的是在电脑开机后就自动运行对应的恶意程序加载工具XcLoader,并将Xctdoor注入explorer.exe。

针对这个后门程序的功能,研究人员指出,能将用户名、电脑名称等系统信息发送至C2服务器,并接收攻击者下达的命令。该后门程序也具备部分窃资软件的功能,例如截取屏幕画面、侧录用户键盘输入的内容、剪贴板内容等。

而对于攻击者的身分,他们发现这起攻击事故并非首度韩国ERP系统遭骇的情况,2017年北韩黑客组织Andariel针对ERP的更新程序ClientUpdater.exe下手,将恶意程序HotCroissant注入其处理进程,目的是在受害组织的网络环境当中,借由ERP更新服务器,对该组织的电脑散布此恶意程序。

由于这次的资安事故当中,攻击者部署恶意程序的手法相当类似2017年的软件更新遭骇事故,研究人员推测,攻击者的身分很可能就是Andariel。

热门文章
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
首页
游戏
合作
发现
我的