La cybersécurité des serveurs de mise à jour produits est au cœur des préoccupations actuelles, et le dernier incident impliquant un fournisseur sud-coréen de solutions ERP le confirme. Ce dernier a subi une attaque mettant en jeu le malware Xctdoor, potentiellement lié au groupe nord-coréen bien connu Lazarus. Les détails de cette infiltration soulèvent à nouveau l’importance de la sécurisation des systèmes d’information contre les menaces externes.
Analyse et implications de l’attaque sur le fournisseur ERP
Identification de la menace et méthode d’attaque
Le Centre d’Intelligence de Sécurité d’AhnLab (ASEC) a identifié l’attaque en mai 2024, soulignant que l’exécutable mis à jour de l’ERP a été utilisé pour déployer un fichier DLL nommé Xctdoor. Ce fichier était activé via la commande regsvr32.exe, une technique déjà observée dans des attaques précédentes associées à la Corée du Nord. Bien que l’acteur de la menace n’ait pas été clairement identifié, les experts notent une similitude frappante avec les actions passées de Andariel, un sous-groupe de Lazarus.
Capacités et communication du malware
Une fois installé, Xctdoor est capable de voler des informations systèmes, de capturer des frappes au clavier, des captures d’écran et le contenu du presse-papiers, tout en exécutant des commandes à distance. ASEC précise que le malware utilise le protocole HTTP pour communiquer avec son serveur de commande et contrôle, s’appuyant sur l’algorithme de chiffrement Mersenne Twister (MT19937) et l’algorithme Base64 pour sécuriser ses échanges.
Autres infections et techniques associées
Le rôle de XcLoader dans l’attaque
Parallèlement, le malware XcLoader a été identifié comme un injecteur de charge utile, facilitant l’infection de processus légitimes tels qu’explorer.exe avec Xctdoor. Ces détections témoignent des compétences techniques élevées des cybercriminels pour maintenir la furtivité de l’attaque.
L’utilisation de HappyDoor par un autre acteur
ASEC a également mis en lumière un autre malware nommé HappyDoor, utilisé par un groupe lié à la Corée du Nord appelé Kimusky. Deployé depuis 2021, ce backdoor partage des méthodes d’exécution similaires et est capable de facilité le vol d’informations, illustrant une fois de plus l’étendue et la diversité des outils à disposition des infiltrateurs.
Pour nos clients, l’urgence de protéger leurs systèmes d’information contre de telles menaces ne cesse de croître. CyberCare offre des solutions avancées de cybersécurité pour contrer efficacement ce genre d’attaques et protéger les données critiques de l’entreprise.