Un serveur de mises à jour de produit d’un fournisseur sud-coréen de progiciels de gestion intégrée (ERP) a été attaqué et utilisé pour diffuser des logiciels malveillants au lieu de mises à jour de produit, selon l’entreprise locale de sécurité informatique AhnLab. Un billet de blog publié lundi par le Centre de renseignement en sécurité d’AhnLab (ASEC) n’a pas nommé le fournisseur d’ERP, mais a noté que les tactiques de l’attaquant ressemblent à celles utilisées par le groupe Andariel lié à la Corée du Nord – une filiale du groupe Lazarus. Les chercheurs de l’ASEC ont écrit qu’Andariel a l’habitude d’installer des portes dérobées nommées HotCroisant et Riffdoor, et qu’ils ont observé des attaques ciblant les systèmes ERP en modifiant ClientUpdater.exe pour qu’il distribue des mises à jour malveillantes. Dans l’incident récent détecté par l’ASEC, les attaquants ont inséré une routine pour exécuter une DLL à partir d’un chemin spécifique en utilisant le processus Regsvr32.exe. Les chercheurs coréens ont nommé cette DLL Xctdoor et ont classé le logiciel malveillant comme « capable de voler des informations système et d’exécuter des commandes de la part de l’acteur de la menace ». Ils ont suggéré que cela soit probablement dû à une attaque contre le serveur de mises à jour d’un ERP. « Les acteurs de la menace peuvent contrôler les systèmes infectés et exfiltrer des informations grâce à ce logiciel malveillant », a souligné l’ASEC.
« Survivre cet été sur Internet »
Un après-midi d’août, alors qu’un suprémaciste blanc conduisait une voiture à travers une foule de manifestants pacifiques à Charlottesville, en
