Xctdoor Malware IOCs

security IOC
Опубликовано

Аналитический центр AhnLab Security Intelligence Center (ASEC) обнаружил недавнюю атаку на корейские компании с использованием вредоносной программы Xctdoor. Изначально злоумышленники проникли в системы, нацелившись на сервер обновлений конкретной корейской компании по планированию ресурсов предприятия (ERP), затронув оборонные и производственные компании.


В ходе этой атаки злоумышленники нацелились на сервер обновлений конкретной ERP-системы, чтобы развернуть вредоносную программу Xctdoor. Эта вредоносная программа, разработанная на языке Go, использует процесс Regsvr32.exe для выполнения DLL-файлов и внедрения в такие системные процессы, как taskhost.exe и explorer.exe. Устойчивость достигается за счет копирования себя по определенному пути и создания ярлыка в папке запуска. После запуска Xctdoor связывается с командно-контрольным (C&C) сервером по протоколу HTTP, шифруя свои сообщения с помощью алгоритмов Mersenne Twister и Base64. Он может выполнять команды, полученные от C&C-сервера, делать скриншоты, регистрировать нажатия клавиш, похищать буфер обмена и дополнительную информацию.

В атаке также участвовал инжектор XcLoader, который отвечает за внедрение полезной нагрузки Xctdoor в системные процессы. XcLoader был разработан на языках C и Go и был замечен в недавних атаках на веб-серверы Windows IIS, использующих уязвимости или неправильную конфигурацию. Журналы атак показывают выполнение команд для сбора системной информации и возможной установки веб-оболочек, что свидетельствует о тщательной компрометации целевых систем. Кроме того, использование Ngrok - программы туннелирования - позволяет предположить, что злоумышленники намеревались сохранить удаленный доступ для дальнейшей эксплуатации.

Indicators of Compromise

IPv4 Port Combinations

  • 195.50.242.110:8080

URLs

  • http://beebeep.info/index.php
  • http://www.jikji.pe.kr/xe/files/attach/binaries/102/663/image.gif

MD5

  • 09a5069c9cc87af39bbb6356af2c1a36
  • 11465d02b0d7231730f3c4202b0400b8
  • 235e02eba12286e74e886b6c99e46fb7
  • 2e325935b2d1d0a82e63ff2876482956
  • 375f1cc32b6493662a78720c7d905bc3
  • 396bee51c7485c3a0d3b044a9ceb6487
  • 41d5d25de0ca0fdc54c24c484f9f8f55
  • 4f5e5a392b8a3e0cb32320ed1e8d0604
  • 54d5be3a4eb0e31c0ba7cb88f0a8e720
  • 6928fab25ac1255fbd8d6c1046653919
  • 9a580aaaa3e79b6f19a2c70e89b016e3
  • 9bbde4484821335d98b41b44f93276e8
  • a42ae44761ce3294ce0775fe384d97b6
  • ab8675b4943bc25a51da66565cfc8ac8
  • ad96a8f22faab8b9c361cfccc381cd28
  • b43a7dcfe53a981831ae763a9a5450fd
  • b96b98dede8a64373b539f94042bdb41
  • d787a33d76552019becfef0a4af78a11
  • d852c3d06ef63ea6c6a21b0d1cdf14d4
  • d938201644aac3421df7a3128aa88a53
  • e554b1be8bab11e979c75e2c2453bc6a
  • f24627f46ec64cae7a6fa9ee312c43d7
Похожие записи:
  1. BitRAT Trojan IOC
  2. Lazarus APT IOCs - Part 2
  3. FARGO Ransomware IOCs
  4. LockBit 3.0/Amadey Bot IOCs
  5. Magniber Ransomware IOCs - Part 5
ASEC Ngrok XcLoader Xctdoor
SEC-1275-1
Добавить комментарий