韩国组织遭受新型Xctdoor恶意软件攻击

文章重点

韩国国防和制造组织遭到新型Xctdoor恶意软件攻击。攻击通过被黑的企业资源计划ERP软件更新服务器实施。恶意软件可以导致信息外泄和系统功能被滥用。专家建议提升对可疑邮件附件的警惕，强化资产管理和漏洞修复。

韩国的国防和制造组织近日受到了一种名为Xctdoor的恶意软件攻击，该攻击是通过一台被黑的韩国企业资源计划ERP软件更新服务器进行的。这种攻击手法与之前由北朝鲜国家赞助的高级持续威胁APT行动和Lazarus Group子集Andariel使用的技术相似，旨在传送HotCroissant和Riffdoor后门程序。相关信息来源于The Register。

攻击者利用Regsvr32exe进程对ERP更新程序进行攻击，执行Xctdoor DLL程序。这种恶意软件不仅能够窃取包括用户名、计算机名称和恶意软件进程IDPID在内的信息，还能执行命令、记录按键、监控剪贴板、截屏以及传输硬盘数据。根据AhnLab安全情报中心的报告，这些功能使得攻击的影响更加严重。

专家ASEC警告，面对这样的威胁，组织应该更加警惕来自可疑来源的邮件附件和可执行文件，并应采取更为强有力的资产管理措施，以及及时进行漏洞修复活动，以减少风险。