駭客鎖定軟體產業發動供應鏈攻擊的情況頻傳,例如:竄改上架WordPress的外掛程式對網站植入惡意程式碼印度軟體開發商的安裝檔被植入竊資軟體,還有影響數十個網站的polyfill的資安事故,如今有人鎖定ERP的更新系統,企圖對使用者電腦植入惡意軟體。

資安業者AhnLab揭露針對特定韓國ERP系統更新伺服器的攻擊行動,這起事故發生在今年5月,他們目前尚未釐清攻擊者如何入侵,但找到可疑的DLL程式庫,經分析後確認是能夠竊取系統資訊及執行攻擊者命令的後門程式Xctdoor,此惡意程式以Go語言打造而成,攻擊者透過Regsvr32.exe的處理程序載入執行。

當這個惡意程式啟動後,會將自己注入taskhost.exe、taskhostex.exe、taskhostw.exe、explorer.exe等其他系統的處理程序當中,接著,該惡意程式還會把惡意程式檔案複製到特定路徑,並在電腦的啟動資料夾新增捷徑,目的是在電腦開機後就自動執行對應的惡意程式載入工具XcLoader,並將Xctdoor注入explorer.exe。

針對這個後門程式的功能,研究人員指出,能將使用者名稱、電腦名稱等系統資訊傳送至C2伺服器,並接收攻擊者下達的命令。該後門程式也具備部分竊資軟體的功能,例如截取螢幕畫面、側錄使用者鍵盤輸入的內容、剪貼簿內容等。

而對於攻擊者的身分,他們發現這起攻擊事故並非首度韓國ERP系統遭駭的情況,2017年北韓駭客組織Andariel針對ERP的更新程式ClientUpdater.exe下手,將惡意程式HotCroissant注入其處理程序,目的是在受害組織的網路環境當中,藉由ERP更新伺服器,對該組織的電腦散布此惡意程式。

由於這次的資安事故當中,攻擊者部署惡意程式的手法相當類似2017年的軟體更新遭駭事故,研究人員推測,攻擊者的身分很可能就是Andariel。

熱門新聞

Advertisement