Rabattilbud med flere licenser
Trusseldatabase Bagdøre KTLVdoor Bagdør

KTLVdoor Bagdør

Med Mezo i Bagdøre, Advanced Persistent Threat (APT), Malware
Oversæt til:
Dansk

Den kinesisk-talende trusselgruppe kendt som Earth Lusca er blevet opdaget i at implementere en ny bagdør kaldet KTLVdoor i et cyberangreb mod et ukendt handelsselskab i Kina. Denne nyligt afslørede malware, udviklet i Golang, er designet til at være på tværs af platforme, målrettet mod både Microsoft Windows- og Linux-systemer.

KTLVdoor har kraftig sløring og forklæder sig som forskellige systemværktøjer. Dette giver angribere mulighed for at udføre en række ondsindede aktiviteter, herunder filmanipulation, kommandoudførelse og ekstern portscanning.

Efterligner legitime værktøjer

KTLVdoor maskerer sig som adskillige værktøjer, herunder sshd, Java, SQLite, bash og edr-agent, blandt andre. Malwaren distribueres enten som et dynamisk linkbibliotek (.dll) eller et delt objekt (.so).

Et bemærkelsesværdigt aspekt af denne aktivitet er identifikation af over 50 Command-and-Control (C&C) servere, alle hostet af det kinesiske firma Alibaba. Disse servere er blevet forbundet med forskellige malware-varianter, hvilket tyder på potentialet for delt infrastruktur med andre kinesiske trusselsaktører.

Trusselskuespillere har været aktive i flere år

Earth Lusca har været aktiv siden mindst 2021 og udført cyberangreb rettet mod både offentlige og private institutioner i Asien, Australien, Europa og Nordamerika. Gruppen menes at have nogle taktiske ligheder med andre indbrudssæt kendt som RedHotel og APT27 (også omtalt som Budworm, Emissary Panda og Iron Tiger).

Gruppens seneste malware, KTLVdoor, er meget sløret. Den får sit navn fra en markør mærket 'KTLV', der findes i dens konfigurationsfil, som indeholder forskellige parametre, der er nødvendige for dens operationer, såsom Command-and-Control (C&C)-servere, den opretter forbindelse til.

En masse ukendte er stadig tilbage

Når den først er aktiveret, kontakter malwaren gentagne gange Command-and-Control-serveren (C&C) og venter på, at yderligere instruktioner udføres på det kompromitterede system. Det understøtter forskellige kommandoer, herunder download og upload af filer, optælling af filsystemet, lancering af en interaktiv shell, kørsel af shellcode og udførelse af scanninger ved hjælp af værktøjer som ScanTCP, ScanRDP, DialTLS, ScanPing og ScanWeb, blandt andre.

Detaljer om, hvordan malwaren distribueres, og om den er blevet brugt mod andre mål verden over, er dog stadig uklare.

Mens Earth Lusca anvender dette nye værktøj, er der en mulighed for, at det også kan bruges af andre kinesisktalende trusselsaktører. Det faktum, at alle C&C-servere var hostet på IP-adresser fra Alibaba, en kinesisk udbyder, har fået forskere til at spekulere i, at malwaren og dens C&C-infrastruktur kan være en del af en tidlig testfase for nye værktøjer.

Bagdørstrusler udsætter ofre for alvorlige konsekvenser

Bagdørs-malware udgør alvorlige farer, fordi det giver angribere uautoriseret, skjult adgang til kompromitterede systemer, uden at normale sikkerhedsforanstaltninger. Nogle af de vigtigste trusler forbundet med bagdørs-malware omfatter:

  • Vedvarende kontrol : Bagdøre giver angribere mulighed for at opretholde langsigtet adgang til et system, ofte uopdaget. Denne vedvarende adgang gør det muligt for angribere løbende at overvåge og manipulere systemet over tid, hvilket gør det vanskeligt at fjerne truslen.
  • Datatyveri : Angribere kan høste følsomme oplysninger såsom finansielle data, intellektuel ejendomsret, login-legitimationsoplysninger og fortrolig kommunikation. Disse indsamlede data kan sælges, bruges til svindel eller føre til yderligere angreb, herunder identitetstyveri eller spionage.
  • Netværksudnyttelse : Når den først er indenfor, kan en bagdør-malware spredes sideværts over et netværk, inficere andre enheder og udvide omfanget af angrebet. Dette kan føre til komplet netværkskompromis, hvilket giver hackere mulighed for at kontrollere flere systemer samtidigt.
  • Levering af anden malware : Bagdøre kan bruges som en leveringsmekanisme for yderligere malware, såsom ransomware, spyware eller keyloggere, som kan forårsage yderligere skade og forstyrrelse.
  • Systemmanipulation og sabotage : Angribere kan udføre kommandoer på det inficerede system, ændre konfigurationer, slette eller ødelægge filer, deaktivere sikkerhedsværktøjer og forstyrre kritiske tjenester. I tilfælde af industrielle eller statslige systemer kan dette føre til alvorlige drifts- eller infrastrukturskader.
  • Fjernovervågning og -kontrol : Bagdørs-malware gør det muligt for angribere i stilhed at overvåge aktiviteter, optage tastetryk, tage skærmbilleder og logge brugeradfærd. Dette overvågningsniveau kan kompromittere sikkerhedspolitikker og give hackeren mulighed for at udnytte sårbarheder uden registrering.
  • Eskalering af privilegier : Angribere bruger ofte bagdøre til at eskalere deres privilegier på et system, hvilket giver dem fuld administrativ kontrol. Dette giver dem mulighed for at omgå sikkerhedsprotokoller, hvilket gør det næsten umuligt for legitime brugere eller sikkerhedsteams at genvinde kontrollen.
  • Svær registrering og fjernelse : Bagdørs malware er ofte designet til at være meget sløret og snigende, hvilket gør det vanskeligt at opdage med traditionelle antivirus- eller sikkerhedsværktøjer. Det kan også deaktivere eller omgå registreringsværktøjer, så truslen kan forblive i systemet uopdaget i lange perioder.

    • Sammenfattende er en bagdør-malware en alvorlig trussel, fordi den giver angribere langsigtet, skjult adgang til systemer, hvilket gør dem i stand til at stjæle data, sprede malware, manipulere operationer og kompromittere hele netværk, alt imens det forbliver svært at opdage og udrydde.

    Trending

    Mest sete

    Indlæser...