KTLVdoor Porta posterior

S'ha detectat que el grup d'amenaces de parla xinesa conegut com a Earth Lusca desplegava una nova porta del darrere anomenada KTLVdoor en un ciberatac contra una empresa comercial no revelada a la Xina. Aquest programari maliciós recentment descobert, desenvolupat a Golang, està dissenyat per ser multiplataforma, dirigit tant a sistemes Microsoft Windows com Linux.

KTLVdoor presenta una gran ofuscació i es disfressa de diverses utilitats del sistema. Això permet als atacants dur a terme una sèrie d'activitats malicioses, com ara la manipulació de fitxers, l'execució d'ordres i l'exploració remota de ports.

Suplantació d'eines legítimes

KTLVdoor es fa passar per diverses eines, com ara sshd, Java, SQLite, bash i edr-agent, entre d'altres. El programari maliciós es distribueix com a biblioteca d'enllaços dinàmics (.dll) o com a objecte compartit (.so).

Un aspecte destacable d'aquesta activitat és la identificació de més de 50 servidors de comandament i control (C&C), tots allotjats per l'empresa xinesa Alibaba. Aquests servidors s'han vinculat a diverses variants de programari maliciós, cosa que suggereix el potencial d'una infraestructura compartida amb altres actors d'amenaça xinesos.

Els actors d'amenaça han estat actius durant diversos anys

The Earth Lusca ha estat actiu almenys des del 2021, duent a terme ciberatacs dirigits a institucions del sector públic i privat d'Àsia, Austràlia, Europa i Amèrica del Nord. Es creu que el grup té algunes similituds tàctiques amb altres conjunts d'intrusió coneguts com RedHotel i APT27 (també coneguts com Budworm, Emissary Panda i Iron Tiger).

El darrer programari maliciós del grup, KTLVdoor, està molt ofuscat. Deriva el seu nom d'un marcador etiquetat 'KTLV' que es troba al seu fitxer de configuració, que inclou diversos paràmetres necessaris per a les seves operacions, com ara els servidors de comandament i control (C&C) als quals es connecta.

Encara queden moltes incògnites

Un cop activat, el programari maliciós contacta repetidament amb el servidor d'ordres i control (C&C), esperant que s'executin més instruccions al sistema compromès. Admet diverses ordres, com ara la descàrrega i la càrrega de fitxers, l'enumeració del sistema de fitxers, el llançament d'un intèrpret d'ordres interactiu, l'execució del codi d'intèrpret d'ordres i la realització d'exploracions amb eines com ScanTCP, ScanRDP, DialTLS, ScanPing i ScanWeb, entre d'altres.

Tanmateix, els detalls sobre com es distribueix el programari maliciós i si s'ha utilitzat contra altres objectius a tot el món encara no estan clars.

Tot i que Earth Lusca utilitza aquesta nova eina, hi ha la possibilitat que també la puguin utilitzar altres actors d'amenaça de parla xinesa. El fet que tots els servidors de C&C estiguessin allotjats en adreces IP d'Alibaba, un proveïdor xinès, ha fet que els investigadors especulin que el programari maliciós i la seva infraestructura de C&C podrien formar part d'una fase de proves primerenques de noves eines.

Les amenaces de la porta del darrere exposen les víctimes a conseqüències greus

El programari maliciós de la porta del darrere presenta greus perills perquè proporciona als atacants un accés encobert i no autoritzat a sistemes compromesos, sense passar les mesures de seguretat normals. Algunes de les amenaces més importants associades amb programari maliciós de porta posterior inclouen:

• Control persistent : les portes del darrere permeten als atacants mantenir un accés a llarg termini a un sistema, sovint sense ser detectats. Aquest accés persistent permet als atacants controlar i manipular el sistema contínuament al llarg del temps, cosa que dificulta eliminar l'amenaça.
• Robatori de dades : els atacants poden recollir informació sensible com ara dades financeres, propietat intel·lectual, credencials d'inici de sessió i comunicacions confidencials. Aquestes dades recopilades es poden vendre, utilitzar per frau o provocar més atacs, inclòs el robatori d'identitat o l'espionatge.
• Explotació de la xarxa : un cop dins, un programari maliciós de porta posterior es pot estendre lateralment per una xarxa, infectant altres dispositius i ampliant l'abast de l'atac. Això pot provocar un compromís total de la xarxa, permetent als atacants controlar diversos sistemes simultàniament.
• Lliurament d'altres programes maliciosos : les portes posteriors es poden utilitzar com a mecanisme de lliurament de programari maliciós addicional, com ara programari ransomware, programari espia o registradors de tecles, que poden causar més danys i interrupcions.
• Manipulació i sabotatge del sistema : els atacants poden executar ordres al sistema infectat, alterar configuracions, suprimir o corrompre fitxers, desactivar les eines de seguretat i interrompre serveis crítics. En els casos de sistemes industrials o governamentals, això podria provocar danys operatius o d'infraestructura greus.
• Supervisió i control remots : el programari maliciós de la porta posterior permet als atacants supervisar en silenci les activitats, enregistrar les pulsacions de tecles, capturar captures de pantalla i registrar el comportament dels usuaris. Aquest nivell de vigilància pot comprometre les polítiques de seguretat i permetre a l'atacant explotar vulnerabilitats sense detectar-los.
• Escalada de privilegis : els atacants sovint utilitzen les portes del darrere per augmentar els seus privilegis en un sistema, donant-los un control administratiu total. Això els permet evitar els protocols de seguretat, cosa que fa gairebé impossible que els usuaris legítims o els equips de seguretat recuperin el control.

En resum, un programari maliciós de porta posterior és una amenaça greu perquè ofereix als atacants un accés ocult i a llarg termini als sistemes, cosa que els permet robar dades, difondre programari maliciós, manipular operacions i comprometre xarxes senceres, tot i que és difícil de detectar i eradicar.