韩国组织遭受新型Xctdoor恶意软件攻击

文章重点

• 韩国国防和制造组织遭到新型Xctdoor恶意软件攻击。
• 攻击通过被黑的企业资源计划（ERP）软件更新服务器实施。
• 恶意软件可以导致信息外泄和系统功能被滥用。
• 专家建议提升对可疑邮件附件的警惕，强化资产管理和漏洞修复。

韩国的国防和制造组织近日受到了一种名为Xctdoor的恶意软件攻击，该攻击是通过一台被黑的韩国企业资源计划（ERP）软件更新服务器进行的。这种攻击手法与之前由北朝鲜国家赞助的高级持续威胁（APT）行动和LazarusGroup子集Andariel使用的技术相似，旨在传送HotCroissant和Riffdoor后门程序。相关信息来源于。

攻击者利用Regsvr32.exe进程对ERP更新程序进行攻击，执行XctdoorDLL程序。这种恶意软件不仅能够窃取包括用户名、计算机名称和恶意软件进程ID（PID）在内的信息，还能执行命令、记录按键、监控剪贴板、截屏以及传输硬盘数据。根据AhnLab安全情报中心的报告，这些功能使得攻击的影响更加严重。

专家ASEC警告，面对这样的威胁，组织应该更加警惕来自可疑来源的邮件附件和可执行文件，并应采取更为强有力的资产管理措施，以及及时进行漏洞修复活动，以减少风险。

针对新型恶意软件的攻击，维护网络安全需要组织加强防范措施，保持信息的安全和完整性。