韓國ERP系統的更新伺服器遭到供應鏈攻擊，北韓駭客Andariel藉此散布惡意程式

駭客鎖定軟體產業發動供應鏈攻擊的情況頻傳，例如：竄改上架WordPress的外掛程式對網站植入惡意程式碼、印度軟體開發商的安裝檔被植入竊資軟體，還有影響數十個網站的polyfill的資安事故，如今有人鎖定ERP的更新系統，企圖對使用者電腦植入惡意軟體。

資安業者AhnLab揭露針對特定韓國ERP系統更新伺服器的攻擊行動，這起事故發生在今年5月，他們目前尚未釐清攻擊者如何入侵，但找到可疑的DLL程式庫，經分析後確認是能夠竊取系統資訊及執行攻擊者命令的後門程式Xctdoor，此惡意程式以Go語言打造而成，攻擊者透過Regsvr32.exe的處理程序載入執行。

當這個惡意程式啟動後，會將自己注入taskhost.exe、taskhostex.exe、taskhostw.exe、explorer.exe等其他系統的處理程序當中，接著，該惡意程式還會把惡意程式檔案複製到特定路徑，並在電腦的啟動資料夾新增捷徑，目的是在電腦開機後就自動執行對應的惡意程式載入工具XcLoader，並將Xctdoor注入explorer.exe。

針對這個後門程式的功能，研究人員指出，能將使用者名稱、電腦名稱等系統資訊傳送至C2伺服器，並接收攻擊者下達的命令。該後門程式也具備部分竊資軟體的功能，例如截取螢幕畫面、側錄使用者鍵盤輸入的內容、剪貼簿內容等。

而對於攻擊者的身分，他們發現這起攻擊事故並非首度韓國ERP系統遭駭的情況，2017年北韓駭客組織Andariel針對ERP的更新程式ClientUpdater.exe下手，將惡意程式HotCroissant注入其處理程序，目的是在受害組織的網路環境當中，藉由ERP更新伺服器，對該組織的電腦散布此惡意程式。

由於這次的資安事故當中，攻擊者部署惡意程式的手法相當類似2017年的軟體更新遭駭事故，研究人員推測，攻擊者的身分很可能就是Andariel。