.
O servidor de atualização de produtos de um fornecedor de ERP sul-coreano foi atacado e usado para distribuir malware em vez de atualizações de produtos, de acordo com a empresa local de segurança de informações AhnLab.
Uma publicação de segunda-feira do Centro de Inteligência de Segurança (ASEC) do AhnLab não nomeou o fornecedor de ERP, mas observou que as táticas do invasor se assemelham às usadas pelo grupo Andariel, ligado à Coreia do Norte, uma subsidiária do Lazarus Group.
Os pesquisadores da ASEC escreveram que Andariel tem instalado backdoors chamados HotCroissant e Riffdoor, e foi observado atacando sistemas ERP alterando ClientUpdater.exe então ele entrega atualizações malignas.
No incidente recente detectado pela ASEC, os invasores inseriram uma rotina para executar uma DLL de um caminho específico usando o Regsvr32.exe processo. Os pesquisadores coreanos nomearam essa DLL de Xctdoor e classificaram o malware como “capaz de roubar informações do sistema e executar comandos do agente da ameaça”. Eles sugeriram que isso é provavelmente possível devido a um ataque ao servidor de atualização de um ERP.
“Os agentes de ameaças podem controlar sistemas infectados e extrair informações por meio desse malware”, observou a ASEC.
“O Xctdoor executado por fim é um backdoor que transmite informações básicas como nome de usuário, nome do computador e PID do malware para o servidor C&C e pode executar comandos recebidos dele”, escreveram os pesquisadores. “Além disso, ele suporta funções de roubo de informações como captura de tela, keylogging, clipboard logging e transmissão de informações de unidade.”
O Andariel ataca principalmente instituições financeiras, entidades governamentais e contratantes de defesa, muitas vezes buscando roubar fundos ou informações confidenciais, mas também é conhecido por se ramificar para a área da saúde e outras áreas.
Os últimos ataques tiveram como alvo o setor de defesa, mas ocorreram poucos meses após ataques a outros setores, incluindo o de manufatura.
“Os usuários devem ser particularmente cautelosos com anexos em e-mails de fontes desconhecidas e arquivos executáveis baixados de páginas da web”, instou a ASEC. “Os administradores de segurança devem aprimorar o monitoramento de programas de gerenciamento de ativos e aplicar patches para quaisquer vulnerabilidades de segurança nos programas.” ®
.
