הצעת הנחה מרובה רישיונות
מסד נתונים של איומים דלתות אחוריות דלת אחורית של KTLVdoor

דלת אחורית של KTLVdoor

עד Mezo ב-דלתות אחוריות, איום מתמשך מתקדם (APT), תוכנה זדונית
לתרגם ל:
עברית

קבוצת האיומים דוברי הסינית הידועה בשם Earth Lusca זוהתה כשהיא פורסת דלת אחורית חדשה בשם KTLVdoor במתקפת סייבר נגד חברת סחר לא ידועה בסין. תוכנה זדונית זו שהתגלתה לאחרונה, שפותחה ב-Golang, נועדה להיות חוצה פלטפורמות, ולכוון הן למערכות Microsoft Windows והן למערכות לינוקס.

KTLVdoor כולל ערפול כבד ומתחפש לכלי עזר שונים של המערכת. זה מאפשר לתוקפים לבצע מגוון פעילויות זדוניות, כולל מניפולציה של קבצים, ביצוע פקודות וסריקת יציאות מרחוק.

התחזות לכלים לגיטימיים

KTLVdoor מתחזה למספר כלים, כולל sshd, Java, SQLite, bash ו-edr-agent, בין היתר. התוכנה הזדונית מופצת כספריית קישורים דינמיים (.dll) או כאובייקט משותף (.so).

היבט בולט של פעילות זו הוא זיהוי של למעלה מ-50 שרתי פיקוד ושליטה (C&C), כולם מתארחים על ידי חברת Alibaba הסינית. שרתים אלו נקשרו לגרסאות תוכנות זדוניות שונות, מה שמצביע על פוטנציאל לתשתית משותפת עם גורמי איומים סיניים אחרים.

שחקני איומים פעילים כבר כמה שנים

כדור הארץ לוסקה פעיל מאז 2021 לפחות, מבצע התקפות סייבר המכוונות הן למוסדות במגזר הציבורי והן למגזר הפרטי ברחבי אסיה, אוסטרליה, אירופה וצפון אמריקה. לקבוצה מאמינים שיש קווי דמיון טקטיים מסוימים עם מערכות חדירות אחרות הידועות בשם RedHotel ו- APT27 (המכונה גם Budworm, Emissary Panda ו-Iron Tiger).

התוכנה הזדונית האחרונה של הקבוצה, KTLVdoor, מעורפלת מאוד. הוא שואב את שמו מסמן שכותרתו 'KTLV' שנמצא בקובץ התצורה שלו, הכולל פרמטרים שונים הדרושים לפעולות שלו, כגון שרתי Command-and-Control (C&C) שאליהם הוא מתחבר.

עדיין נותרו הרבה אלמונים

לאחר ההפעלה, התוכנה הזדונית יוצר קשר שוב ושוב עם שרת הפקודה והבקרה (C&C), וממתין להוראות נוספות שיבוצעו במערכת שנפרצה. הוא תומך בפקודות שונות, כולל הורדה והעלאה של קבצים, ספירת מערכת הקבצים, השקת מעטפת אינטראקטיבית, הפעלת קוד shell וביצוע סריקות באמצעות כלים כמו ScanTCP, ScanRDP, DialTLS, ScanPing ו-ScanWeb, בין היתר.

עם זאת, פרטים על אופן הפצת התוכנה הזדונית והאם נעשה בה שימוש נגד מטרות אחרות ברחבי העולם עדיין לא ברורים.

בעוד Earth Lusca משתמש בכלי החדש הזה, קיימת אפשרות שהוא עשוי לשמש גם גורמי איומים אחרים דוברי סינית. העובדה שכל שרתי ה-C&C התארחו בכתובות IP של Alibaba, ספקית סינית, הובילה את החוקרים לשער שהתוכנה הזדונית ותשתית ה-C&C שלה עשויות להיות חלק משלב בדיקה מוקדם של כלים חדשים.

איומים בדלת אחורית חושפים את הקורבנות לתוצאות קשות

תוכנה זדונית בדלת אחורית מהווה סכנות חמורות מכיוון שהיא מספקת לתוקפים גישה לא מורשית, סמויה למערכות שנפגעו, תוך עקיפת אמצעי אבטחה רגילים. כמה מהאיומים המשמעותיים ביותר הקשורים לתוכנות זדוניות בדלת אחורית כוללים:

  • שליטה מתמשכת : דלתות אחוריות מאפשרות לתוקפים לשמור על גישה ארוכת טווח למערכת, שלעתים קרובות לא מזוהה. גישה מתמשכת זו מאפשרת לתוקפים לנטר ללא הרף ולתפעל את המערכת לאורך זמן, מה שמקשה על הסרת האיום.
  • גניבת נתונים : תוקפים יכולים לאסוף מידע רגיש כמו נתונים פיננסיים, קניין רוחני, אישורי כניסה ותקשורת סודית. הנתונים שנאספו יכולים להימכר, להשתמש בהם להונאה או להוביל להתקפות נוספות, כולל גניבת זהות או ריגול.
  • ניצול רשת : ברגע שנכנס אליו, תוכנה זדונית בדלת אחורית יכולה להתפשט לרוחב ברשת, להדביק מכשירים אחרים ולהרחיב את היקף המתקפה. זה יכול להוביל להתפשרות מלאה ברשת, מה שמאפשר לתוקפים לשלוט על מספר מערכות בו זמנית.
  • אספקה של תוכנות זדוניות אחרות : דלתות אחוריות יכולות לשמש כמנגנון מסירה של תוכנות זדוניות נוספות, כגון תוכנות כופר, תוכנות ריגול או מפתחות, שעלולים לגרום לנזק ולהפרעה נוספים.
  • מניפולציה וחבלה במערכת : תוקפים יכולים לבצע פקודות במערכת הנגועה, לשנות תצורות, למחוק או להשחית קבצים, להשבית כלי אבטחה ולשבש שירותים קריטיים. במקרים של מערכות תעשייתיות או ממשלתיות, הדבר עלול להוביל לנזק תפעולי או תשתיתי חמור.
  • ניטור ובקרה מרחוק : תוכנות זדוניות בדלת אחורית מאפשרת לתוקפים לנטר בשקט פעילויות, להקליט הקשות, לכידת צילומי מסך ורישום התנהגות משתמש. רמת מעקב זו עלולה לפגוע במדיניות האבטחה ולאפשר לתוקף לנצל נקודות תורפה ללא זיהוי.
  • הסלמה של הרשאות : תוקפים משתמשים לעתים קרובות בדלתות אחוריות כדי להסלים את ההרשאות שלהם במערכת, מה שמעניק להם שליטה ניהולית מלאה. זה מאפשר להם לעקוף פרוטוקולי אבטחה, מה שהופך את זה לכמעט בלתי אפשרי עבור משתמשים לגיטימיים או צוותי אבטחה להחזיר את השליטה.
  • זיהוי והסרה קשים : תוכנה זדונית בדלת אחורית מתוכננת לעתים קרובות להיות מעורפלת וחמקנית ביותר, מה שמקשה על זיהוי באמצעות אנטי-וירוס או כלי אבטחה מסורתיים. זה גם עשוי להשבית או להתחמק מכלי זיהוי, ולאפשר לאיום להישאר במערכת ללא זיהוי לתקופות ארוכות.

    • לסיכום, תוכנה זדונית בדלת אחורית היא איום רציני מכיוון שהיא מעניקה לתוקפים גישה נסתרת למערכות ארוכת טווח, ומאפשרת להם לגנוב נתונים, להפיץ תוכנות זדוניות, לתפעל פעולות ולסכן רשתות שלמות, כל זאת תוך קושי לגלות ולמגר.

    מגמות

    רדיו אינטרנט

    תוכניות שעלולות להיות לא רצויות, תוכנות פרסום, חוטפי דפדפן
    בעולם יותר ויותר מחובר, אבטחת המכשירים שלך קריטית מאי פעם. איומי סייבר מתפתחים, ותוכניות פוטנציאליות לא רצויות (PUPs) מייצגות קטגוריה מטעה במיוחד של תוכנות שעלולות לערער את הפרטיות והאבטחה שלך....

    הכי נצפה

    הונאת דוא"ל 'Gek Squad'

    פישינג, ספאם
    37,897
    Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
    טוען...