باب خلفي KTLVdoor

تم اكتشاف قيام مجموعة التهديد الناطقة باللغة الصينية والمعروفة باسم Earth Lusca بنشر برنامج خلفي جديد يسمى KTLVdoor في هجوم إلكتروني ضد شركة تجارية غير معلنة في الصين. تم تصميم هذا البرنامج الخبيث الذي تم اكتشافه حديثًا، والذي تم تطويره بلغة Golang، ليكون متعدد المنصات، ويستهدف أنظمة Microsoft Windows وLinux.

يتميز KTLVdoor بقدرة كبيرة على التعتيم ويتخفى في هيئة أدوات مساعدة مختلفة للنظام. وهذا يسمح للمهاجمين بتنفيذ مجموعة من الأنشطة الضارة، بما في ذلك التلاعب بالملفات وتنفيذ الأوامر ومسح المنافذ عن بُعد.

انتحال أدوات شرعية

يتخفى KTLVdoor في هيئة عدة أدوات، بما في ذلك sshd وJava وSQLite وbash وedr-agent وغيرها. ويتم توزيع البرامج الضارة إما كمكتبة ارتباط ديناميكي (.dll) أو كائن مشترك (.so).

ومن الجوانب البارزة في هذا النشاط تحديد أكثر من 50 خادمًا للقيادة والتحكم، تستضيفها جميعًا شركة علي بابا الصينية. وقد تم ربط هذه الخوادم بأنواع مختلفة من البرامج الضارة، مما يشير إلى إمكانية وجود بنية أساسية مشتركة مع جهات تهديد صينية أخرى.

كان الجهات الفاعلة المهددة نشطة لعدة سنوات

كانت مجموعة Earth Lusca نشطة منذ عام 2021 على الأقل، حيث نفذت هجمات إلكترونية استهدفت مؤسسات القطاعين العام والخاص في جميع أنحاء آسيا وأستراليا وأوروبا وأمريكا الشمالية. ويُعتقد أن المجموعة لديها بعض أوجه التشابه التكتيكية مع مجموعات الاختراق الأخرى المعروفة باسم RedHotel و APT27 (المعروفة أيضًا باسم Budworm وEmissary Panda وIron Tiger).

إن أحدث البرامج الخبيثة التي أطلقتها المجموعة، KTLVdoor، تتسم بقدر كبير من التعتيم. وهي تستمد اسمها من علامة تحمل اسم "KTLV" موجودة في ملف التكوين الخاص بها، والذي يتضمن العديد من المعلمات الضرورية لعملياتها، مثل خوادم الأوامر والتحكم (C&C) التي تتصل بها.

لا يزال هناك الكثير من المجهول

بمجرد تنشيطه، يتصل البرنامج الخبيث بشكل متكرر بخادم الأوامر والتحكم (C&C)، في انتظار تنفيذ المزيد من التعليمات على النظام المخترق. وهو يدعم أوامر مختلفة، بما في ذلك تنزيل الملفات وتحميلها، وتعداد نظام الملفات، وتشغيل غلاف تفاعلي، وتشغيل كود غلاف، وإجراء عمليات مسح باستخدام أدوات مثل ScanTCP وScanRDP وDialTLS وScanPing وScanWeb، وغيرها.

ومع ذلك، لا تزال التفاصيل حول كيفية توزيع البرمجيات الخبيثة وما إذا كان قد تم استخدامها ضد أهداف أخرى في جميع أنحاء العالم غير واضحة.

وبينما يستخدم Earth Lusca هذه الأداة الجديدة، فمن المحتمل أن يستخدمها أيضًا جهات تهديد أخرى ناطقة باللغة الصينية. والحقيقة أن جميع خوادم القيادة والتحكم تم استضافتها على عناوين IP من Alibaba، وهو مزود صيني، دفعت الباحثين إلى التكهن بأن البرامج الضارة والبنية الأساسية للقيادة والتحكم قد تكون جزءًا من مرحلة اختبار مبكرة لأدوات جديدة.

التهديدات الخلفية تعرض الضحايا لعواقب وخيمة

تشكل البرامج الضارة من الباب الخلفي مخاطر جسيمة لأنها توفر للمهاجمين إمكانية الوصول غير المصرح به إلى الأنظمة المخترقة، متجاوزة بذلك تدابير الأمان العادية. وتتضمن بعض التهديدات الأكثر أهمية المرتبطة بالبرامج الضارة من الباب الخلفي ما يلي:

• التحكم المستمر : تسمح الأبواب الخلفية للمهاجمين بالحفاظ على وصول طويل الأمد إلى النظام، دون أن يتم اكتشافهم في كثير من الأحيان. يتيح هذا الوصول المستمر للمهاجمين مراقبة النظام والتلاعب به باستمرار بمرور الوقت، مما يجعل إزالة التهديد أمرًا صعبًا.
• سرقة البيانات : يمكن للمهاجمين الحصول على معلومات حساسة مثل البيانات المالية والملكية الفكرية وبيانات تسجيل الدخول والاتصالات السرية. ويمكن بيع هذه البيانات المحصودة أو استخدامها في الاحتيال أو التسبب في المزيد من الهجمات، بما في ذلك سرقة الهوية أو التجسس.
• استغلال الشبكة : بمجرد دخول البرنامج الخبيث إلى الشبكة، فإنه يمكن أن ينتشر أفقيًا عبر الشبكة، مما يؤدي إلى إصابة أجهزة أخرى وتوسيع نطاق الهجوم. وقد يؤدي هذا إلى اختراق الشبكة بالكامل، مما يسمح للمهاجمين بالتحكم في أنظمة متعددة في وقت واحد.
• توصيل البرامج الضارة الأخرى : يمكن استخدام الأبواب الخلفية كآلية توصيل للبرامج الضارة الإضافية، مثل برامج الفدية أو برامج التجسس أو مسجلي مفاتيح المفاتيح، والتي يمكن أن تسبب المزيد من الضرر والاضطراب.
• التلاعب بالنظام والتخريب : يمكن للمهاجمين تنفيذ أوامر على النظام المصاب، وتغيير التكوينات، وحذف الملفات أو إتلافها، وتعطيل أدوات الأمان، وتعطيل الخدمات الحيوية. وفي حالات الأنظمة الصناعية أو الحكومية، قد يؤدي هذا إلى أضرار جسيمة في العمليات أو البنية الأساسية.
• المراقبة والتحكم عن بعد : تسمح البرامج الضارة الخلفية للمهاجمين بمراقبة الأنشطة بصمت، وتسجيل ضغطات المفاتيح، والتقاط لقطات شاشة، وتسجيل سلوك المستخدم. يمكن لهذا المستوى من المراقبة أن يعرض سياسات الأمان للخطر ويسمح للمهاجم باستغلال الثغرات الأمنية دون اكتشافها.
• تصعيد الامتيازات : يستخدم المهاجمون غالبًا أبوابًا خلفية لتصعيد امتيازاتهم على النظام، مما يمنحهم سيطرة إدارية كاملة. وهذا يسمح لهم بتجاوز بروتوكولات الأمان، مما يجعل من المستحيل تقريبًا على المستخدمين الشرعيين أو فرق الأمان استعادة السيطرة.

باختصار، تشكل البرمجيات الخبيثة من الخلف تهديدًا خطيرًا لأنها تمنح المهاجمين إمكانية الوصول المخفي إلى الأنظمة على المدى الطويل، مما يمكنهم من سرقة البيانات ونشر البرمجيات الخبيثة والتلاعب بالعمليات واختراق شبكات بأكملها، كل ذلك مع صعوبة اكتشافها والقضاء عليها.