Slevová nabídka pro více licencí
Databáze hrozeb Zadní vrátka KTLVdoor Backdoor

KTLVdoor Backdoor

V roce Mezo v roce Zadní vrátka, Pokročilá trvalá hrozba (APT), Malware
Přeložit do:
Čeština

Čínsky mluvící skupina hrozeb známá jako Earth Lusca byla odhalena, jak nasazuje nová zadní vrátka nazvaná KTLVdoor při kybernetickém útoku proti neznámé obchodní společnosti v Číně. Tento nově odhalený malware, vyvinutý v Golangu, je navržen tak, aby byl multiplatformní a zaměřoval se na systémy Microsoft Windows i Linux.

KTLVdoor se vyznačuje těžkým zatemněním a maskuje se jako různé systémové nástroje. To umožňuje útočníkům provádět řadu škodlivých činností, včetně manipulace se soubory, provádění příkazů a vzdáleného skenování portů.

Vydávání se za legitimní nástroje

KTLVdoor se maskuje jako několik nástrojů, včetně mimo jiné sshd, Java, SQLite, bash a edr-agent. Malware je distribuován buď jako dynamická knihovna (.dll) nebo jako sdílený objekt (.so).

Pozoruhodným aspektem této činnosti je identifikace více než 50 serverů Command-and-Control (C&C), které všechny provozuje čínská společnost Alibaba. Tyto servery byly propojeny s různými variantami malwaru, což naznačuje potenciál pro sdílenou infrastrukturu s dalšími čínskými aktéry hrozeb.

Aktéři hrozeb jsou aktivní již několik let

The Earth Lusca je aktivní minimálně od roku 2021 a provádí kybernetické útoky zaměřené na instituce veřejného i soukromého sektoru v Asii, Austrálii, Evropě a Severní Americe. Předpokládá se, že skupina má určité taktické podobnosti s jinými sadami narušení známými jako RedHotel a APT27 (také označované jako Budworm, Emissary Panda a Iron Tiger).

Nejnovější malware skupiny, KTLVdoor, je velmi zmatený. Svůj název odvozuje od značky označené „KTLV“, která se nachází v jeho konfiguračním souboru, který obsahuje různé parametry nezbytné pro jeho operace, jako jsou servery Command-and-Control (C&C), ke kterým se připojuje.

Stále zůstává spousta neznámých

Po aktivaci malware opakovaně kontaktuje server Command-and-Control (C&C) a čeká na další pokyny k provedení na napadeném systému. Podporuje různé příkazy, včetně stahování a odesílání souborů, výčtu souborového systému, spouštění interaktivního shellu, spouštění shell kódu a provádění skenování pomocí nástrojů jako ScanTCP, ScanRDP, DialTLS, ScanPing a ScanWeb a další.

Podrobnosti o tom, jak je malware distribuován a zda byl použit proti jiným cílům po celém světě, však zůstávají nejasné.

I když Earth Lusca využívá tento nový nástroj, existuje možnost, že jej mohou použít i další čínsky mluvící aktéři hrozeb. Skutečnost, že všechny servery C&C byly hostovány na IP adresách od čínského poskytovatele Alibaba, vedla výzkumníky ke spekulacím, že malware a jeho infrastruktura C&C by mohly být součástí rané testovací fáze nových nástrojů.

Backdoor hrozby vystavují oběti vážným následkům

Backdoor malware představuje vážné nebezpečí, protože poskytuje útočníkům neautorizovaný, skrytý přístup k kompromitovaným systémům a obchází běžná bezpečnostní opatření. Mezi nejvýznamnější hrozby spojené s malwarem typu backdoor patří:

  • Trvalá kontrola : Zadní vrátka umožňují útočníkům udržovat dlouhodobý přístup k systému, často nedetekovaný. Tento trvalý přístup umožňuje útočníkům průběžně monitorovat a manipulovat se systémem v průběhu času, což ztěžuje odstranění hrozby.
  • Krádež dat : Útočníci mohou získat citlivé informace, jako jsou finanční údaje, duševní vlastnictví, přihlašovací údaje a důvěrná komunikace. Tato získaná data lze prodat, použít k podvodům nebo vést k dalším útokům, včetně krádeže identity nebo špionáže.
  • Zneužívání sítě : Jakmile je malware backdoor uvnitř, může se šířit laterálně po síti, infikovat další zařízení a rozšířit rozsah útoku. To může vést k úplnému ohrožení sítě, což útočníkům umožní ovládat více systémů současně.
  • Doručování jiného malwaru : Zadní vrátka lze použít jako mechanismus doručování dalšího malwaru, jako je ransomware, spyware nebo keyloggery, které mohou způsobit další poškození a narušení.
  • Manipulace se systémem a sabotáž : Útočníci mohou provádět příkazy na infikovaném systému, měnit konfigurace, mazat nebo poškozovat soubory, deaktivovat bezpečnostní nástroje a narušovat důležité služby. V případě průmyslových nebo vládních systémů by to mohlo vést k vážnému poškození provozu nebo infrastruktury.
  • Vzdálené monitorování a ovládání : Malware Backdoor umožňuje útočníkům tiše sledovat aktivity, zaznamenávat stisky kláves, pořizovat snímky obrazovky a protokolovat chování uživatelů. Tato úroveň dohledu může ohrozit bezpečnostní zásady a umožnit útočníkovi zneužít zranitelnosti bez odhalení.
  • Eskalace privilegií : Útočníci často používají zadní vrátka k eskalaci svých privilegií v systému, což jim dává plnou administrativní kontrolu. To jim umožňuje obejít bezpečnostní protokoly, takže legitimním uživatelům nebo bezpečnostním týmům je téměř nemožné znovu získat kontrolu.
  • Obtížná detekce a odstranění : Malware Backdoor je často navržen tak, aby byl vysoce zastřený a tajný, takže je obtížné jej odhalit pomocí tradičních antivirových nebo bezpečnostních nástrojů. Může také deaktivovat nebo obcházet detekční nástroje, což umožňuje, aby hrozba zůstala v systému nezjištěna po dlouhou dobu.

    • Stručně řečeno, malware typu backdoor je vážnou hrozbou, protože poskytuje útočníkům dlouhodobý, skrytý přístup k systémům, umožňuje jim krást data, šířit malware, manipulovat s operacemi a kompromitovat celé sítě, a to vše, přičemž je obtížné je odhalit a vymýtit.

    Trendy

    Nejvíce shlédnuto

    E-mailový podvod „Geek Squad“.

    Phishing, Spam
    37,897
    Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
    Načítání...