03 de julio de 2024Sala de prensaMalware / Inteligencia de amenazas Se ha descubierto que el servidor de actualización de productos de un proveedor de planificación de recursos empresariales (ERP) de Corea del Sur no identificado se vio comprometido para entregar una puerta trasera basada en Go denominada Xctdoor. El Centro de Inteligencia de Seguridad AhnLab (ASEC), que identificó el ataque en mayo de 2024, no lo atribuyó a un actor o grupo de amenazas conocido, pero señaló que las tácticas se superponen con las de Andariel, un subgrupo dentro del infame Grupo Lazarus. Las similitudes se derivan del uso anterior por parte del adversario norcoreano de la solución ERP para distribuir malware como HotCroissant, que es idéntico a Rifdoor, en 2017 al insertar una rutina maliciosa en un programa de actualización de software. En el incidente reciente analizado por ASEC, se dice que el mismo ejecutable fue manipulado para ejecutar un archivo DLL desde una ruta específica utilizando el proceso regsvr32.exe en lugar de iniciar un descargador. El archivo DLL, Xctdoor, es capaz de robar información del sistema, incluidas las pulsaciones de teclas, capturas de pantalla y contenido del portapapeles, y ejecutar comandos emitidos por el actor de la amenaza. «Xctdoor se comunica con el [command-and-control] El ataque también utiliza un malware llamado XcLoader, que actúa como un malware inyector responsable de inyectar Xctdoor en procesos legítimos (por ejemplo, «explorer.exe»). El ASEC dijo que detectó además casos en los que se han comprometido servidores web mal protegidos para instalar XcLoader desde al menos marzo de 2024. El desarrollo se produce cuando se ha observado que otro actor de amenazas vinculado a Corea del Norte, conocido como Kimusky, utiliza una puerta trasera previamente no documentada con el nombre en código HappyDoor que se ha utilizado desde julio de 2021. Las cadenas de ataque que distribuyen el malware aprovechan los correos electrónicos de phishing selectivo como punto de partida para difundir un archivo comprimido, que contiene un JavaScript ofuscado o un cuentagotas que, cuando se ejecuta, crea y ejecuta HappyDoor junto con un archivo señuelo. HappyDoor, un archivo DLL ejecutado a través de regsvr32.exe, está equipado para comunicarse con un servidor remoto a través de HTTP y facilitar el robo de información, la descarga/carga de archivos, así como la actualización y finalización de sí mismo. También sigue a una campaña de distribución de malware «masiva» orquestada por el grupo de ciberespionaje Konni (también conocido como Opal Sleet, Osmium o TA406) que tiene como objetivo a Corea del Sur con señuelos de phishing que se hacen pasar por el servicio fiscal nacional para entregar malware capaz de robar información confidencial, dijo el investigador de seguridad Idan Tarab. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.