KTLVdoor Задна врата

Китайскоезичната група за заплахи, известна като Earth Lusca, е била засечена да използва нов заден ход, наречен KTLVdoor, в кибератака срещу неразкрита търговска компания в Китай. Този новооткрит зловреден софтуер, разработен в Golang, е проектиран да бъде междуплатформен, насочен както към Microsoft Windows, така и към Linux системи.

KTLVdoor се характеризира с тежко объркване и се прикрива като различни системни помощни програми. Това позволява на атакуващите да извършват набор от злонамерени дейности, включително манипулиране на файлове, изпълнение на команди и дистанционно сканиране на портове.

Имитиране на легитимни инструменти

KTLVdoor се маскира като няколко инструмента, включително sshd, Java, SQLite, bash и edr-agent, наред с други. Зловреден софтуер се разпространява или като библиотека с динамични връзки (.dll), или като споделен обект (.so).

Забележителен аспект от тази дейност е идентифицирането на над 50 сървъра за командване и управление (C&C), всички хоствани от китайската компания Alibaba. Тези сървъри са свързани с различни варианти на зловреден софтуер, което предполага потенциал за споделена инфраструктура с други китайски заплахи.

Заплахите са активни от няколко години

The Earth Lusca е активен най-малко от 2021 г., като извършва кибератаки, насочени както към институции от публичния, така и към частния сектор в Азия, Австралия, Европа и Северна Америка. Смята се, че групата има някои тактически прилики с други групи за проникване, известни като RedHotel и APT27 (наричани още Budworm, Emissary Panda и Iron Tiger).

Най-новият злонамерен софтуер на групата, KTLVdoor, е силно прикрит. Той получава името си от маркер, означен с „KTLV“, намиращ се в неговия конфигурационен файл, който включва различни параметри, необходими за неговите операции, като сървърите за командване и управление (C&C), към които се свързва.

Все още остават много неизвестни

Веднъж активиран, зловреден софтуер многократно се свързва със сървъра за командване и управление (C&C), чакайки допълнителни инструкции за изпълнение на компрометираната система. Той поддържа различни команди, включително изтегляне и качване на файлове, изброяване на файловата система, стартиране на интерактивна обвивка, стартиране на shellcode и извършване на сканиране с помощта на инструменти като ScanTCP, ScanRDP, DialTLS, ScanPing и ScanWeb, наред с други.

Подробностите за това как се разпространява зловреден софтуер и дали е бил използван срещу други цели по света обаче остават неясни.

Въпреки че Earth Lusca използва този нов инструмент, има възможност той да бъде използван и от други китайски говорещи заплахи. Фактът, че всички C&C сървъри бяха хоствани на IP адреси от Alibaba, китайски доставчик, накара изследователите да спекулират, че зловредният софтуер и неговата C&C инфраструктура може да са част от ранна фаза на тестване на нови инструменти.

Заплахите от задната вратичка излагат жертвите на тежки последствия

Зловреден софтуер със задна вратичка крие сериозни опасности, защото предоставя на нападателите неоторизиран, скрит достъп до компрометирани системи, заобикаляйки нормалните мерки за сигурност. Някои от най-значимите заплахи, свързани със заден злонамерен софтуер, включват:

• Постоянен контрол : Задните врати позволяват на нападателите да поддържат дългосрочен достъп до система, често незабелязан. Този постоянен достъп позволява на атакуващите непрекъснато да наблюдават и манипулират системата във времето, което затруднява премахването на заплахата.
• Кражба на данни : Нападателите могат да събират чувствителна информация като финансови данни, интелектуална собственост, идентификационни данни за вход и поверителни комуникации. Тези събрани данни могат да бъдат продадени, използвани за измама или да доведат до допълнителни атаки, включително кражба на самоличност или шпионаж.
• Мрежова експлоатация : Веднъж влязъл вътре, зловреден софтуер със задна врата може да се разпространи странично в мрежата, заразявайки други устройства и разширявайки обхвата на атаката. Това може да доведе до пълен компромет на мрежата, което позволява на атакуващите да контролират множество системи едновременно.
• Доставка на друг злонамерен софтуер : Задните врати могат да се използват като механизъм за доставка на допълнителен злонамерен софтуер, като рансъмуер, шпионски софтуер или кийлогъри, които могат да причинят допълнителни щети и смущения.
• Системни манипулации и саботаж : Нападателите могат да изпълняват команди на заразената система, като променят конфигурации, изтриват или повреждат файлове, деактивират инструменти за сигурност и прекъсват критични услуги. В случаи на промишлени или правителствени системи това може да доведе до сериозни оперативни или инфраструктурни повреди.
• Отдалечено наблюдение и контрол : Зловреден софтуер със задна врата позволява на нападателите да наблюдават безшумно дейности, записвайки натискания на клавиши, заснемайки екранни снимки и регистрирайки поведението на потребителите. Това ниво на наблюдение може да компрометира политиките за сигурност и да позволи на атакуващия да използва уязвимости без откриване.
• Ескалиране на привилегиите : Нападателите често използват задни врати, за да ескалират своите привилегии в системата, като им дават пълен административен контрол. Това им позволява да заобикалят протоколите за сигурност, което прави почти невъзможно легитимните потребители или екипите по сигурността да си възвърнат контрола.

В обобщение, зловреден софтуер със задна вратичка е сериозна заплаха, тъй като предоставя на нападателите дългосрочен, скрит достъп до системи, което им позволява да крадат данни, да разпространяват зловреден софтуер, да манипулират операции и да компрометират цели мрежи, като същевременно остават трудни за откриване и изкореняване.