Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackean servidor de proveedor de ERP de Corea del Sur para propagar malware Xctdoor
  • Tecnología

Hackean servidor de proveedor de ERP de Corea del Sur para propagar malware Xctdoor

teknomers 3 de Temmuz de 2024 (Last updated: 3 de Temmuz de 2024) 3 minutes read
Hackean servidor de proveedor de ERP de Corea del Sur


3 de julio de 2024Sala de prensaMalware/Inteligencia sobre amenazas

Se ha descubierto que el servidor de actualización de productos de un proveedor de planificación de recursos empresariales (ERP) de Corea del Sur no identificado está comprometido para distribuir una puerta trasera basada en Go denominada Xctdoor.

El Centro de Inteligencia de Seguridad AhnLab (ASEC), que identificado El ataque de mayo de 2024 no se atribuyó a un actor o grupo de amenazas conocido, pero se señaló que las tácticas se superponen con las de Andariel, un subgrupo dentro del infame Grupo Lazarus.

Las similitudes se deben al uso previo por parte del adversario norcoreano de la solución ERP para distribuir malware como HotCroissant (que es idéntico a Rifdoor) en 2017, insertando una rutina maliciosa en un programa de actualización de software.

La seguridad cibernética

En el reciente incidente analizado por ASEC, se dice que el mismo ejecutable fue manipulado para ejecutar un archivo DLL desde una ruta específica utilizando el proceso regsvr32.exe en lugar de iniciar un descargador.

El archivo DLL, Xctdoor, es capaz de robar información del sistema, incluidas pulsaciones de teclas, capturas de pantalla y contenido del portapapeles, y ejecutar comandos emitidos por el actor de la amenaza.

“Xctdoor se comunica con el [command-and-control] El servidor utiliza el protocolo HTTP, mientras que el cifrado de paquetes emplea el algoritmo Mersenne Twister (MT19937) y el algoritmo Base64”, dijo ASEC.

También se utiliza en el ataque un malware llamado XcLoader, que actúa como un malware inyector responsable de inyectar Xctdoor en procesos legítimos (por ejemplo, “explorer.exe”).

ASEC afirmó que detectó además casos en los que servidores web poco seguros se vieron comprometidos para instalar XcLoader desde al menos marzo de 2024.

El desarrollo se produce luego de que otro actor de amenazas vinculado con Corea del Norte, conocido como Kimusky, ha sido observado empleando una puerta trasera previamente no documentada con nombre en código Puerta feliz que se ha puesto en uso desde julio de 2021.

La seguridad cibernética

Las cadenas de ataque que distribuyen el malware aprovechan los correos electrónicos de phishing como punto de partida para difundir un archivo comprimido, que contiene un JavaScript ofuscado o un cuentagotas que, cuando se ejecuta, crea y ejecuta HappyDoor junto con un archivo señuelo.

HappyDoor, un archivo DLL ejecutado a través de regsvr32.exe, está equipado para comunicarse con un servidor remoto a través de HTTP y facilitar el robo de información, la descarga/carga de archivos, así como actualizarse y finalizarse.

También sigue una campaña de distribución de malware “masiva” orquestada por el grupo de ciberespionaje Konni (también conocido como Opal Sleet, Osmium o TA406) que apunta a Corea del Sur con señuelos de phishing que se hacen pasar por el servicio fiscal nacional para entregar malware capaz de robar información confidencial, dijo el investigador de seguridad Idan Tarab. dicho.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Cavendish hace historia: se cae en la final
Next: Fuga de gas en Oosterhout, 25 viviendas evacuadas

Related Stories

Canícula en coproiedad: puedes instalar un aire acondicionado, pero no
  • Tecnología

Canícula en coproiedad: puedes instalar un aire acondicionado, pero no sin método.

teknomers 10 de Temmuz de 2026
Nothing Projector: hasta 420 € de descuento en las pantallas
  • Tecnología

Nothing Projector: hasta 420 € de descuento en las pantallas Black Series para disfrutar de las noches con amigos en (muy) grande

teknomers 10 de Temmuz de 2026
¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software
  • Tecnología

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software a menos de 22€ lo soluciona de por vida.

teknomers 10 de Temmuz de 2026

You May Have Missed

Copa del Mundo: víctima de un hackeo, la federación argentina
  • Deporte

Copa del Mundo: víctima de un hackeo, la federación argentina reconoce falsamente «decisiones arbitrales corruptas»

teknomers 10 de Temmuz de 2026
  • General

El actor británico Micheal Ward es absuelto de las acusaciones de violación y agresiones sexuales en su contra.

teknomers 10 de Temmuz de 2026
  • Cultura

Viaje por el espacio, goles de los Bleus en directo, Justin Trudeau… El concierto loco, loco, loco de Katy Perry en el festival Musilac

teknomers 10 de Temmuz de 2026
  • General

Chris Pine: Cita del día de Chris Pine: ‘Lo único sobre lo que a veces tienes control es… No tienes control sobre… Pero tienes una elección acerca de…’ Lecciones de vida sobre resiliencia, claridad mental, aceptación radical y agilidad emocional

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.