韩国组织遭受新型Xctdoor恶意软件攻击

文章重点

韩国的国防和制造组织近日受到了一种名为Xctdoor的恶意软件攻击，该攻击是通过一台被黑的韩国企业资源计划ERP软件更新服务器进行的。这种攻击手法与之前由北朝鲜国家赞助的高级持续威胁APT行动和Lazarus Group子集Andariel使用的技术相似，旨在传送HotCroissant和Riffdoor后门程序。相关信息来源于The Register。

攻击者利用Regsvr32exe进程对ERP更新程序进行攻击，执行Xctdoor DLL程序。这种恶意软件不仅能够窃取包括用户名、计算机名称和恶意软件进程IDPID在内的信息，还能执行命令、记录按键、监控剪贴板、截屏以及传输硬盘数据。根据AhnLab安全情报中心的报告，这些功能使得攻击的影响更加严重。

专家ASEC警告，面对这样的威胁，组织应该更加警惕来自可疑来源的邮件附件和可执行文件，并应采取更为强有力的资产管理措施，以及及时进行漏洞修复活动，以减少风险。

风险管理建议具体措施提升对可疑邮件的警惕不打开不明来源的附件加强资产管理定期检查并更新资产管理程序及时漏洞修复安排定期的安全审核和漏洞检测

针对新型恶意软件的攻击，维护网络安全需要组织加强防范措施，保持信息的安全和完整性。