骇客锁定软体产业发动供应链攻击的情况频传,例如:当这个恶意程式启动后,会将自己注入taskhost.exe、taskhostex.exe、taskhostw.exe、explorer.exe等其他系统的处理程序当中,接著,该恶意程式还会把恶意程式档案复制到特定路径,并在电脑的启动资料夹新增捷径,目的是在电脑开机后就自动执行对应的恶意程式载入工具XcLoader,并将Xctdoor注入explorer.exe。
针对这个后门程式的功能,研究人员指出,能将使用者名称、电脑名称等系统资讯传送至C2伺服器,并接收攻击者下达的命令。该后门程式也具备部分窃资软体的功能,例如截取萤幕画面、侧录使用者键盘输入的内容、剪贴簿内容等。
而对于攻击者的身分,他们发现这起攻击事故并非首度针对韩国ERP系统遭骇的情况,2017年北韩骇客组织Andariel针对ERP的更新程式ClientUpdater.exe下手,将恶意程式HotCroissant注入其处理程序,目的是在受害组织的网路环境当中,借由ERP更新伺服器,对该组织的电脑散布此恶意程式。
由于这次的资安事故当中,攻击者部署恶意程式的手法相当类似2017年的软体更新遭骇事故,研究人员推测,攻击者的身分很可能就是Andariel。