Атака на серверы южнокорейского разработчика ПО: Xctdoor в центре внимания

Специалисты из AhnLab обнаружили, что неизвестные хакеры скомпрометировали сервер обновлений одного из ведущих южнокорейских разработчиков корпоративного программного обеспечения (ERP). В результате атаки был развернут вредоносный инструмент под названием Xctdoor, разработанный на основе языка программирования Go.

По данным исследователей, данный вредоносный код связывается с сервером управления командами (C&C) по протоколу HTTP, используя алгоритмы шифрования Mersenne Twister и Base64 для защиты передаваемой информации. Xctdoor способен перехватывать данные, включая нажатия клавиш, скриншоты и содержимое буфера обмена, а также выполнять команды, полученные от атакующего.

Следует отметить, что в прошлом группировка Lazarus Group использовала ERP-решения для распространения вредоносного ПО, что схоже с текущей атакой, однако точная принадлежность к киберпреступникам пока не установлена. Эксперты предполагают, что такие атаки могут иметь стратегический характер и направлены на кражу конфиденциальных данных и слежение за активностью жертв.