Ponuda s popustom na više licenci
Baza prijetnji Stražnja vrata KTLVdoor Stražnja vrata

KTLVdoor Stražnja vrata

Do Mezo. Stražnja vrata, Napredna trajna prijetnja (APT), Malware. godine
Prevedi na:
Hrvatski

Prijetnja skupina koja govori kineski, poznata kao Earth Lusca, otkrivena je kako koristi novi backdoor pod nazivom KTLVdoor u cyber napadu na nepoznatu trgovačku tvrtku u Kini. Ovaj novootkriveni zlonamjerni softver, razvijen u Golangu, dizajniran je za više platformi, ciljajući na Microsoft Windows i Linux sustave.

KTLVdoor ima tešku zamagljenost i prerušava se u različite sistemske uslužne programe. To napadačima omogućuje izvođenje niza zlonamjernih aktivnosti, uključujući manipulaciju datotekama, izvršavanje naredbi i udaljeno skeniranje portova.

Oponašanje legitimnih alata

KTLVdoor se predstavlja kao nekoliko alata, uključujući sshd, Java, SQLite, bash i edr-agent, među ostalima. Zlonamjerni softver se distribuira ili kao biblioteka dinamičke veze (.dll) ili kao zajednički objekt (.so).

Značajan aspekt ove aktivnosti je identifikacija više od 50 Command-and-Control (C&C) poslužitelja, a sve hostira kineska tvrtka Alibaba. Ti su poslužitelji povezani s različitim varijantama zlonamjernog softvera, što ukazuje na mogućnost zajedničke infrastrukture s drugim kineskim akterima prijetnji.

Akteri prijetnji aktivni su nekoliko godina

Zemlja Lusca aktivna je najmanje od 2021., izvodeći kibernetičke napade usmjerene na institucije javnog i privatnog sektora diljem Azije, Australije, Europe i Sjeverne Amerike. Vjeruje se da grupa ima neke taktičke sličnosti s drugim skupovima upada poznatim kao RedHotel i APT27 (koji se također nazivaju Budworm, Emissary Panda i Iron Tiger).

Najnoviji zlonamjerni softver grupe, KTLVdoor, vrlo je prikriven. Ime je dobio po oznaci označenoj s 'KTLV' koja se nalazi u njegovoj konfiguracijskoj datoteci, a koja uključuje različite parametre potrebne za njezin rad, kao što su Command-and-Control (C&C) poslužitelji s kojima se povezuje.

Ostaje još puno nepoznanica

Nakon što se aktivira, zlonamjerni softver više puta kontaktira Command-and-Control (C&C) poslužitelj, čekajući daljnje upute za izvršenje na kompromitiranom sustavu. Podržava razne naredbe, uključujući preuzimanje i učitavanje datoteka, nabrajanje datotečnog sustava, pokretanje interaktivne ljuske, pokretanje shellcodea i provođenje skeniranja pomoću alata kao što su ScanTCP, ScanRDP, DialTLS, ScanPing i ScanWeb, između ostalih.

Međutim, detalji o tome kako se zlonamjerni softver distribuira i je li korišten protiv drugih ciljeva diljem svijeta ostaju nejasni.

Dok Earth Lusca koristi ovaj novi alat, postoji mogućnost da ga mogu koristiti i drugi akteri prijetnji koji govore kineski. Činjenica da su svi C&C poslužitelji bili smješteni na IP adresama Alibabe, kineskog pružatelja usluga, navela je istraživače na nagađanje da bi malware i njegova C&C infrastruktura mogli biti dio rane faze testiranja novih alata.

Prijetnje sa stražnje strane izlažu žrtve teškim posljedicama

Backdoor malware predstavlja ozbiljne opasnosti jer napadačima omogućuje neovlašteni, tajni pristup ugroženim sustavima, zaobilazeći uobičajene sigurnosne mjere. Neke od najznačajnijih prijetnji povezanih sa backdoor zlonamjernim softverom uključuju:

  • Trajna kontrola : stražnja vrata omogućuju napadačima dugoročni pristup sustavu, često neotkriven. Ovaj trajni pristup omogućuje napadačima kontinuirani nadzor i manipuliranje sustavom tijekom vremena, što otežava uklanjanje prijetnje.
  • Krađa podataka : Napadači mogu prikupiti osjetljive informacije kao što su financijski podaci, intelektualno vlasništvo, vjerodajnice za prijavu i povjerljive komunikacije. Ovi prikupljeni podaci mogu se prodati, koristiti za prijevaru ili dovesti do daljnjih napada, uključujući krađu identiteta ili špijunažu.
  • Mrežno iskorištavanje : Jednom unutra, backdoor zlonamjerni softver može se širiti bočno preko mreže, zaraziti druge uređaje i proširiti opseg napada. To može dovesti do potpunog ugrožavanja mreže, dopuštajući napadačima da kontroliraju više sustava istovremeno.
  • Isporuka drugog zlonamjernog softvera : Backdoors se mogu koristiti kao mehanizam isporuke za dodatni zlonamjerni softver, kao što je ransomware, spyware ili keylogger, koji može prouzročiti daljnju štetu i smetnje.
  • Manipulacija i sabotaža sustava : Napadači mogu izvršavati naredbe na zaraženom sustavu, mijenjati konfiguracije, brisati ili oštećivati datoteke, onemogućavati sigurnosne alate i ometati kritične usluge. U slučajevima industrijskih ili vladinih sustava, to može dovesti do ozbiljnih operativnih ili infrastrukturnih oštećenja.
  • Daljinski nadzor i kontrola : Backdoor zlonamjerni softver omogućuje napadačima da tiho prate aktivnosti, bilježe pritiske tipki, snimaju snimke zaslona i bilježe ponašanje korisnika. Ova razina nadzora može ugroziti sigurnosne politike i omogućiti napadaču da iskoristi ranjivosti bez otkrivanja.
  • Eskalacija privilegija : Napadači često koriste stražnja vrata kako bi eskalirali svoje privilegije na sustavu, dajući im potpunu administrativnu kontrolu. To im omogućuje zaobilaženje sigurnosnih protokola, čineći gotovo nemogućim legitimne korisnike ili sigurnosne timove da ponovno preuzmu kontrolu.
  • Teško otkrivanje i uklanjanje : Backdoor zlonamjerni softver često je dizajniran da bude vrlo zamagljen i prikriven, što otežava otkrivanje s tradicionalnim antivirusnim ili sigurnosnim alatima. Također može onemogućiti ili izbjeći alate za otkrivanje, dopuštajući prijetnji da dugo ostane neotkrivena u sustavu.

    • Ukratko, backdoor zlonamjerni softver je ozbiljna prijetnja jer napadačima omogućuje dugotrajan, skriveni pristup sustavima, omogućujući im krađu podataka, širenje zlonamjernog softvera, manipuliranje operacijama i kompromitiranje cijelih mreža, a sve dok ga je teško otkriti i iskorijeniti.

    U trendu

    Nagledanije

    Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

    Lažne poruke upozorenja
    29,598
    Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
    Učitavam...