KTLVdoor Backdoor

گروه تهدید چینی زبان معروف به Earth Lusca در حال استقرار یک درب پشتی جدید به نام KTLVdoor در یک حمله سایبری علیه یک شرکت تجاری ناشناس در چین شناسایی شده است. این بدافزار تازه کشف شده، که در Golang توسعه یافته است، به صورت چند پلتفرمی طراحی شده است و سیستم های مایکروسافت ویندوز و لینوکس را هدف قرار می دهد.

KTLVdoor دارای ابهام شدید است و خود را به عنوان ابزارهای مختلف سیستم مبدل می کند. این به مهاجمان اجازه می دهد تا طیف وسیعی از فعالیت های مخرب، از جمله دستکاری فایل، اجرای فرمان و اسکن پورت از راه دور را انجام دهند.

جعل هویت ابزارهای مشروع

KTLVdoor به عنوان چندین ابزار، از جمله sshd، جاوا، SQLite، bash، و edr-agent و غیره جلوه می‌کند. بدافزار به عنوان یک کتابخانه پیوند پویا (.dll) یا یک شی مشترک (.so) توزیع می شود.

یکی از جنبه های قابل توجه این فعالیت، شناسایی بیش از 50 سرور فرماندهی و کنترل (C&C) است که همگی توسط شرکت چینی علی بابا میزبانی می شوند. این سرورها به انواع مختلف بدافزار مرتبط شده‌اند که نشان‌دهنده پتانسیل زیرساخت‌های مشترک با دیگر بازیگران تهدید چین است.

بازیگران تهدید چندین سال است که فعال هستند

Earth Lusca حداقل از سال 2021 فعال بوده و حملات سایبری را انجام می دهد که هم نهادهای بخش دولتی و هم خصوصی را در سراسر آسیا، استرالیا، اروپا و آمریکای شمالی هدف قرار می دهد. اعتقاد بر این است که این گروه شباهت‌های تاکتیکی با سایر مجموعه‌های نفوذی معروف به RedHotel و APT27 (همچنین به عنوان Budworm، Emissary Panda و Iron Tiger) دارند.

آخرین بدافزار این گروه، KTLVdoor، بسیار مبهم است. نام خود را از نشانگری با برچسب "KTLV" که در فایل پیکربندی آن یافت می شود، گرفته شده است، که شامل پارامترهای مختلف لازم برای عملیات آن، مانند سرورهای Command-and-Control (C&C) است که به آن متصل می شود.

بسیاری از ناشناخته ها هنوز باقی مانده اند

پس از فعال شدن، بدافزار به طور مکرر با سرور Command-and-Control (C&C) تماس می گیرد و منتظر دستورالعمل های بیشتر برای اجرای سیستم در معرض خطر است. از دستورات مختلفی از جمله دانلود و آپلود فایل ها، شمارش سیستم فایل، راه اندازی یک پوسته تعاملی، اجرای shellcode و انجام اسکن با استفاده از ابزارهایی مانند ScanTCP، ScanRDP، DialTLS، ScanPing و ScanWeb و غیره پشتیبانی می کند.

با این حال، جزئیات در مورد نحوه توزیع بدافزار و اینکه آیا از آن علیه سایر اهداف در سراسر جهان استفاده شده است نامشخص است.

در حالی که Earth Lusca از این ابزار جدید استفاده می کند، این احتمال وجود دارد که توسط دیگر بازیگران تهدید چینی زبان نیز استفاده شود. این واقعیت که همه سرورهای C&C بر روی آدرس‌های IP Alibaba، ارائه‌دهنده چینی میزبانی می‌شدند، محققان را به این حدس و گمان واداشت که این بدافزار و زیرساخت C&C آن می‌تواند بخشی از مرحله آزمایش اولیه ابزارهای جدید باشد.

تهدیدات درب پشتی، قربانیان را در معرض عواقب شدید قرار می دهد

بدافزار Backdoor خطرات جدی ایجاد می کند، زیرا دسترسی غیرمجاز و مخفیانه به سیستم های در معرض خطر را برای مهاجمان فراهم می کند و اقدامات امنیتی عادی را دور می زند. برخی از مهم‌ترین تهدیدات مرتبط با بدافزارهای پشتی عبارتند از:

• کنترل مداوم : درهای پشتی به مهاجمان اجازه می دهد تا دسترسی طولانی مدت به یک سیستم را حفظ کنند، اغلب ناشناخته. این دسترسی مداوم به مهاجمان این امکان را می دهد که به طور مداوم سیستم را در طول زمان نظارت و دستکاری کنند و حذف تهدید را دشوار می کند.
• سرقت داده ها : مهاجمان می توانند اطلاعات حساسی مانند داده های مالی، مالکیت معنوی، اعتبار ورود به سیستم و ارتباطات محرمانه را جمع آوری کنند. این داده‌های جمع‌آوری‌شده می‌تواند فروخته شود، برای کلاهبرداری استفاده شود، یا منجر به حملات بیشتر، از جمله سرقت هویت یا جاسوسی شود.
• بهره برداری از شبکه : یک بدافزار پشتی پس از داخل شدن، می تواند به صورت جانبی در سراسر شبکه پخش شود، دستگاه های دیگر را آلوده کرده و دامنه حمله را گسترش دهد. این می تواند منجر به به خطر افتادن کامل شبکه شود و به مهاجمان اجازه می دهد چندین سیستم را به طور همزمان کنترل کنند.
• تحویل سایر بدافزارها : درهای پشتی می‌توانند به عنوان مکانیزم تحویل برای بدافزارهای اضافی مانند باج‌افزار، جاسوس‌افزار یا keylogger استفاده شوند که می‌تواند باعث آسیب و اختلال بیشتر شود.
• دستکاری و خرابکاری سیستم : مهاجمان می توانند دستوراتی را بر روی سیستم آلوده اجرا کنند، پیکربندی ها را تغییر دهند، فایل ها را حذف یا خراب کنند، ابزارهای امنیتی را غیرفعال کنند و سرویس های حیاتی را مختل کنند. در موارد سیستم های صنعتی یا دولتی، این می تواند به آسیب های عملیاتی یا زیرساختی شدید منجر شود.
• نظارت و کنترل از راه دور : بدافزار Backdoor به مهاجمان اجازه می‌دهد تا فعالیت‌ها، ضبط ضربه‌های کلید، گرفتن اسکرین شات و ثبت رفتار کاربر را بی‌صدا نظارت کنند. این سطح از نظارت می تواند سیاست های امنیتی را به خطر بیاندازد و به مهاجم اجازه می دهد تا از آسیب پذیری ها بدون شناسایی سوء استفاده کند.
• افزایش امتیازات : مهاجمان اغلب از درهای پشتی برای افزایش امتیازات خود در یک سیستم استفاده می کنند و به آنها کنترل اداری کامل می دهند. این به آن‌ها اجازه می‌دهد تا پروتکل‌های امنیتی را دور بزنند و کنترل مجدد را برای کاربران قانونی یا تیم‌های امنیتی تقریبا غیرممکن می‌کند.

به طور خلاصه، یک بدافزار پشتی یک تهدید جدی است زیرا به مهاجمان دسترسی طولانی مدت و پنهانی به سیستم‌ها می‌دهد و آنها را قادر می‌سازد تا داده‌ها را بدزدند، بدافزار را پخش کنند، عملیات‌ها را دستکاری کنند و کل شبکه‌ها را به خطر بیندازند، در حالی که شناسایی و ریشه‌کن کردن آن دشوار است.