Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Tagauksed KTLVdoor tagauks

KTLVdoor tagauks

Aastaks Mezo aastal Tagauksed, Täiustatud püsiv oht (APT), Pahavara
Tõlgi:
Eesti

Hiina keelt kõnelev ohurühmitus, mida nimetatakse Earth Luscaks, on avastatud uue tagaukse nimega KTLVdoor kasutuselevõtul küberrünnakus Hiinas avaldamata kaubandusettevõtte vastu. See Golangis välja töötatud äsja paljastatud pahavara on loodud platvormideüleseks, sihiks nii Microsoft Windowsi kui ka Linuxi süsteeme.

KTLVdoor sisaldab tugevat hägusust ja maskeerib end mitmesugusteks süsteemiutiliitideks. See võimaldab ründajatel sooritada mitmesuguseid pahatahtlikke tegevusi, sealhulgas failidega manipuleerimist, käskude täitmist ja kaugportide skannimist.

Seaduspäraste tööriistade esinemine

KTLVdoor maskeeritakse mitme tööriistana, sealhulgas sshd, Java, SQLite, bash ja edr-agent. Pahavara levitatakse kas dünaamilise lingi teegi (.dll) või jagatud objektina (.so).

Selle tegevuse märkimisväärne aspekt on enam kui 50 juhtimis- ja juhtimisserveri tuvastamine, mida kõiki hostib Hiina ettevõte Alibaba. Need serverid on lingitud erinevate pahavaravariantidega, mis viitab võimalikule ühisele infrastruktuurile teiste Hiina ohus osalejatega.

Ohunäitlejad on tegutsenud mitu aastat

Earth Lusca on tegutsenud vähemalt 2021. aastast, korraldades küberrünnakuid nii avaliku kui ka erasektori institutsioonide vastu Aasias, Austraalias, Euroopas ja Põhja-Ameerikas. Arvatakse, et rühmal on taktikalisi sarnasusi teiste RedHoteli ja APT27 nime all tuntud sissetungikomplektidega (nimetatakse ka Budwormiks, Emissary Pandaks ja Iron Tigeriks).

Grupi uusim pahavara KTLVdoor on väga hägune. Selle nimi tuleneb selle konfiguratsioonifailis leiduvast markerist tähisega "KTLV", mis sisaldab mitmesuguseid selle toimimiseks vajalikke parameetreid, näiteks käsu-and-juhtimise (C&C) serverid, millega see ühendub.

Veel on palju tundmatut

Pärast aktiveerimist võtab pahavara korduvalt ühendust Command-and-Control (C&C) serveriga, oodates edasisi juhiseid, mida ohustatud süsteemis käivitada. See toetab mitmesuguseid käske, sealhulgas failide alla- ja üleslaadimist, failisüsteemi loendamist, interaktiivse kesta käivitamist, shellkoodi käivitamist ja skannimist, kasutades muu hulgas selliseid tööriistu nagu ScanTCP, ScanRDP, DialTLS, ScanPing ja ScanWeb.

Üksikasjad selle kohta, kuidas pahavara levitatakse ja kas seda on maailmas muude sihtmärkide vastu kasutatud, on aga ebaselged.

Kuigi Earth Lusca kasutab seda uut tööriista, on võimalik, et seda võivad kasutada ka teised hiina keelt kõnelevad ohus osalejad. Asjaolu, et kõiki C&C-servereid majutati Hiina pakkuja Alibaba IP-aadressidel, on pannud teadlased oletama, et pahavara ja selle C&C infrastruktuur võivad olla osa uute tööriistade varasest testimisetapist.

Tagaukseohud seavad ohvrid tõsiste tagajärgede kätte

Tagaukse pahavara kujutab endast tõsist ohtu, kuna see annab ründajatele volitamata ja varjatud juurdepääsu ohustatud süsteemidele, jättes mööda tavalistest turvameetmetest. Mõned kõige olulisemad tagaukse pahavaraga seotud ohud on järgmised:

  • Püsiv kontroll : tagauksed võimaldavad ründajatel säilitada süsteemile pikaajalise juurdepääsu, sageli avastamata. See püsiv juurdepääs võimaldab ründajatel aja jooksul süsteemi pidevalt jälgida ja sellega manipuleerida, muutes ohu eemaldamise keeruliseks.
  • Andmete vargus : ründajad saavad koguda tundlikku teavet, nagu finantsandmed, intellektuaalomand, sisselogimismandaadid ja konfidentsiaalne suhtlus. Neid kogutud andmeid saab müüa, kasutada pettusteks või viia edasiste rünnakuteni, sealhulgas identiteedivarguseni või spionaažini.
  • Võrgu ärakasutamine : sisenedes võib tagaukse pahavara levida külgmiselt üle võrgu, nakatades teisi seadmeid ja laiendades rünnaku ulatust. See võib viia võrgu täieliku kahjustamiseni, võimaldades ründajatel juhtida mitut süsteemi korraga.
  • Muu pahavara kohaletoimetamine : tagauksi saab kasutada täiendava pahavara (nt lunavara, nuhkvara või klahvilogijate) edastamise mehhanismina, mis võib põhjustada täiendavat kahju ja häireid.
  • Süsteemi manipuleerimine ja sabotaaž : ründajad saavad nakatunud süsteemis käske täita, konfiguratsioone muuta, faile kustutada või rikkuda, turbetööriistu keelata ja kriitilisi teenuseid häirida. Tööstus- või valitsussüsteemide puhul võib see kaasa tuua tõsiseid tegevus- või infrastruktuurikahjustusi.
  • Kaugjälgimine ja juhtimine : tagaukse pahavara võimaldab ründajatel vaikselt jälgida tegevusi, salvestada klahvivajutusi, jäädvustada ekraanipilte ja logida kasutaja käitumist. See järelevalvetase võib ohustada turvapoliitikat ja võimaldada ründajal turvaauke ilma tuvastamata ära kasutada.
  • Privileegide eskaleerimine : ründajad kasutavad süsteemis oma õiguste suurendamiseks sageli tagauksi, andes neile täieliku administratiivse kontrolli. See võimaldab neil turvaprotokollidest mööda minna, muutes seaduslikele kasutajatele või turvameeskondadele kontrolli tagasisaamise peaaegu võimatuks.
  • Raske tuvastamine ja eemaldamine : tagaukse pahavara on sageli loodud väga häguseks ja varjatuks, mistõttu on selle tuvastamine traditsiooniliste viirusetõrje- või turbetööriistadega keeruline. Samuti võib see tuvastustööriistu keelata või neist kõrvale hiilida, võimaldades ohul jääda süsteemi pikaks ajaks avastamata.

    • Kokkuvõttes on tagaukse pahavara tõsine oht, kuna see annab ründajatele pikaajalise varjatud juurdepääsu süsteemidele, võimaldades neil varastada andmeid, levitada pahavara, manipuleerida toiminguid ja kahjustada terveid võrke, olles samal ajal raskesti tuvastatav ja likvideeritud.

    Trendikas

    Enim vaadatud

    Hüpikaknad „Kui olete 18-aastane, puudutage valikut...

    Võlts hoiatussõnumid
    29,598
    Kui olete 18-aastane, puudutage luba, on hüpikaknad, mis kuvatakse Interneti sirvimise ajal kasutaja ekraanile. Need hüpikaknad võivad olla kasutajatele üsna murettekitavad, kuna nad kutsuvad neid üles klõpsama nuppu "Luba", et jätkata praeguse veebisaidi kasutamist. Need hüpikaknad on seotud selliste soovimatute programmidega nagu reklaamvara, mis võib kasutajatele olulisi probleeme tekitada....
    Laadimine...