登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

韩国ERP系统的更新服务器遭到供应链攻击,北韩黑客Andariel借此散布恶意程序

分享

支付動態

2024-07-04

本周资安业者AhnLab揭露锁定韩国ERP系统更新服务器的攻击行动,对方意图散布名为Xctdoor的后门程序,值得留意的是,黑客如何入侵更新服务器而得逞,目前仍不得而知

黑客锁定软件产业发动供应链攻击的情况频传,例如:窜改上架WordPress的插件程序对网站植入恶意代码、印度软件开发商的安装档被植入窃资软件,还有影响数十个网站的polyfill的资安事故,如今有人锁定ERP的更新系统,企图对用户电脑植入恶意软件。

资安业者AhnLab揭露针对特定韩国ERP系统更新服务器的攻击行动,这起事故发生在今年5月,他们目前尚未厘清攻击者如何入侵,但找到可疑的DLL程序库,经分析后确认是能够窃取系统信息及运行攻击者命令的后门程序Xctdoor,此恶意程序以Go语言打造而成,攻击者通过Regsvr32.exe的处理进程加载运行。

当这个恶意程序启动后,会将自己注入taskhost.exe、taskhostex.exe、taskhostw.exe、explorer.exe等其他系统的处理进程当中,接着,该恶意程序还会把恶意程序文件拷贝到特定路径,并在电脑的启动文件夹添加捷径,目的是在电脑开机后就自动运行对应的恶意程序加载工具XcLoader,并将Xctdoor注入explorer.exe。

针对这个后门程序的功能,研究人员指出,能将用户名、电脑名称等系统信息发送至C2服务器,并接收攻击者下达的命令。该后门程序也具备部分窃资软件的功能,例如截取屏幕画面、侧录用户键盘输入的内容、剪贴板内容等。

而对于攻击者的身分,他们发现这起攻击事故并非首度韩国ERP系统遭骇的情况,2017年北韩黑客组织Andariel针对ERP的更新程序ClientUpdater.exe下手,将恶意程序HotCroissant注入其处理进程,目的是在受害组织的网络环境当中,借由ERP更新服务器,对该组织的电脑散布此恶意程序。

由于这次的资安事故当中,攻击者部署恶意程序的手法相当类似2017年的软件更新遭骇事故,研究人员推测,攻击者的身分很可能就是Andariel。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu