Un serveur de mises à jour de produit d’un fournisseur sud-coréen de progiciels de gestion intégrée (ERP) a été attaqué et utilisé pour diffuser des logiciels malveillants au lieu de mises à jour de produit, selon l’entreprise locale de sécurité informatique AhnLab. Un billet de blog publié lundi par le Centre de renseignement en sécurité d’AhnLab (ASEC) n’a pas nommé le fournisseur d’ERP, mais a noté que les tactiques de l’attaquant ressemblent à celles utilisées par le groupe Andariel lié à la Corée du Nord – une filiale du groupe Lazarus. Les chercheurs de l’ASEC ont écrit qu’Andariel a l’habitude d’installer des portes dérobées nommées HotCroisant et Riffdoor, et qu’ils ont observé des attaques ciblant les systèmes ERP en modifiant ClientUpdater.exe pour qu’il distribue des mises à jour malveillantes. Dans l’incident récent détecté par l’ASEC, les attaquants ont inséré une routine pour exécuter une DLL à partir d’un chemin spécifique en utilisant le processus Regsvr32.exe. Les chercheurs coréens ont nommé cette DLL Xctdoor et ont classé le logiciel malveillant comme « capable de voler des informations système et d’exécuter des commandes de la part de l’acteur de la menace ». Ils ont suggéré que cela soit probablement dû à une attaque contre le serveur de mises à jour d’un ERP. « Les acteurs de la menace peuvent contrôler les systèmes infectés et exfiltrer des informations grâce à ce logiciel malveillant », a souligné l’ASEC.
Équilibrer la Numérisation et la Sobriété Numérique dans la Formation Professionnelle : Solutions Actuelles et Besoins Émergents
La formation professionnelle tout au long de la vie (FTLV) connaît une transformation significative dans le contexte actuel de numérisation
