Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Hátsó ajtók KTLVdoor Backdoor

KTLVdoor Backdoor

Mezo -ra Hátsó ajtók, Advanced Persistent Threat (APT), Malware-ben
Fordítás ide:
Magyar

Az Earth Lusca néven ismert, kínaiul beszélő fenyegetőcsoportot észlelték, amint egy új, KTLVdoor nevű hátsó ajtót telepített egy kibertámadás során egy ismeretlen kínai kereskedelmi vállalat ellen. Ezt az újonnan feltárt, Golangban kifejlesztett rosszindulatú programot platformok közötti használatra tervezték, és Microsoft Windows és Linux rendszereket is megcéloz.

A KTLVdoor erős elhomályosítással rendelkezik, és különféle rendszer segédprogramoknak álcázza magát. Ez lehetővé teszi a támadók számára, hogy számos rosszindulatú tevékenységet hajtsanak végre, beleértve a fájlkezelést, a parancsok végrehajtását és a távoli portellenőrzést.

Törvényes eszközök megszemélyesítése

A KTLVdoor számos eszköznek álcázza magát, többek között az sshd-t, a Java-t, az SQLite-t, a bash-t és az edr-agentet. A rosszindulatú program dinamikus hivatkozási könyvtárként (.dll) vagy megosztott objektumként (.so) kerül terjesztésre.

Ennek a tevékenységnek egy figyelemre méltó aspektusa több mint 50 Command-and-Control (C&C) szerver azonosítása, amelyek mindegyikét a kínai Alibaba cég üzemelteti. Ezeket a szervereket különféle rosszindulatú programváltozatokhoz kapcsolták össze, ami arra utal, hogy a többi kínai fenyegetés szereplőivel megosztott infrastruktúra lehetséges.

A fenyegetőző szereplők több éve aktívak

Az Earth Lusca legalább 2021 óta aktív, és kibertámadásokat hajt végre állami és magánszektorbeli intézmények ellen Ázsiában, Ausztráliában, Európában és Észak-Amerikában. Úgy gondolják, hogy a csoport taktikailag hasonlít a RedHotel és az APT27 (Budworm, Emissary Panda és Iron Tiger néven is emlegetett) behatoló készletekhez.

A csoport legújabb rosszindulatú programja, a KTLVdoor erősen homályos. Nevét a konfigurációs fájljában található „KTLV” feliratú jelölőről kapta, amely a működéséhez szükséges különféle paramétereket tartalmazza, például a Command-and-Control (C&C) szervereket, amelyekhez csatlakozik.

Sok ismeretlen maradt még

Az aktiválást követően a rosszindulatú program ismételten kapcsolatba lép a Command-and-Control (C&C) szerverrel, és további utasításokat vár a feltört rendszeren való végrehajtáshoz. Támogatja a különféle parancsokat, beleértve a fájlok letöltését és feltöltését, a fájlrendszer felsorolását, interaktív shell indítását, shellkód futtatását és ellenőrzéseket olyan eszközökkel, mint a ScanTCP, ScanRDP, DialTLS, ScanPing és ScanWeb.

A rosszindulatú program terjesztésének és más célpontok elleni felhasználásának részletei azonban továbbra sem tisztázottak.

Míg az Earth Lusca alkalmazza ezt az új eszközt, fennáll annak a lehetősége, hogy más kínaiul beszélő fenyegetés szereplői is használják. Az a tény, hogy az összes C&C szervert az Alibaba, egy kínai szolgáltató IP-címén tárolták, arra késztette a kutatókat, hogy a rosszindulatú program és annak C&C infrastruktúrája az új eszközök korai tesztelési szakaszának része lehet.

A hátsó ajtó fenyegetései súlyos következményeknek teszik ki az áldozatokat

A Backdoor malware komoly veszélyeket rejt magában, mivel a szokásos biztonsági intézkedéseket megkerülve jogosulatlan, rejtett hozzáférést biztosít a támadóknak a feltört rendszerekhez. A hátsó ajtók rosszindulatú programjaival kapcsolatos legjelentősebb fenyegetések közé tartozik:

  • Állandó vezérlés : A hátsó ajtók lehetővé teszik a támadók számára, hogy hosszú távú hozzáférést biztosítsanak a rendszerhez, gyakran észrevétlenül. Ez a folyamatos hozzáférés lehetővé teszi a támadók számára, hogy idővel folyamatosan figyeljék és manipulálják a rendszert, ami megnehezíti a fenyegetés eltávolítását.
  • Adatlopás : A támadók olyan érzékeny információkat gyűjthetnek be, mint a pénzügyi adatok, a szellemi tulajdon, a bejelentkezési adatok és a bizalmas kommunikáció. Ezeket az összegyűjtött adatokat eladhatják, csalásra felhasználhatják, vagy további támadásokhoz vezethetnek, beleértve a személyazonosság-lopást vagy a kémkedést.
  • Hálózati kizsákmányolás : A bejutást követően egy hátsó ajtóban lévő rosszindulatú program oldalirányban terjedhet a hálózaton keresztül, megfertőzve más eszközöket, és kiterjesztve a támadás hatókörét. Ez teljes hálózati kompromisszumhoz vezethet, lehetővé téve a támadók számára, hogy egyidejűleg több rendszert irányítsanak.
  • Egyéb rosszindulatú programok kézbesítése : A Backdoors további kártevők, például zsarolóprogramok, kémprogramok vagy billentyűnaplózók szállítási mechanizmusaként használhatók, amelyek további károkat és fennakadásokat okozhatnak.
  • Rendszermanipuláció és szabotázs : A támadók parancsokat hajthatnak végre a fertőzött rendszeren, módosíthatják a konfigurációkat, törölhetik vagy megrongálhatják a fájlokat, letilthatják a biztonsági eszközöket és megzavarhatják a kritikus szolgáltatásokat. Ipari vagy kormányzati rendszerek esetén ez súlyos működési vagy infrastruktúra-károsodáshoz vezethet.
  • Távoli megfigyelés és vezérlés : A Backdoor malware lehetővé teszi a támadók számára, hogy csendben figyeljék a tevékenységeket, rögzítsék a billentyűleütéseket, rögzítsenek képernyőképeket és naplózzák a felhasználói viselkedést. Az ilyen szintű felügyelet veszélyeztetheti a biztonsági házirendeket, és lehetővé teszi a támadó számára, hogy észlelés nélkül kihasználja a biztonsági réseket.
  • Jogosultságok kiterjesztése : A támadók gyakran használnak hátsó ajtókat, hogy kiterjesszék jogosultságaikat a rendszeren, teljes adminisztratív irányítást biztosítva számukra. Ez lehetővé teszi számukra, hogy megkerüljék a biztonsági protokollokat, így a jogos felhasználók vagy biztonsági csapatok szinte lehetetlenné teszik az irányítás visszaszerzését.
  • Nehéz észlelés és eltávolítás : A Backdoor rosszindulatú programokat gyakran úgy tervezték, hogy erősen zavartak és lopakodjanak, ami megnehezíti a felismerést a hagyományos víruskereső vagy biztonsági eszközökkel. Ezenkívül letilthatja vagy kikerülheti az észlelési eszközöket, lehetővé téve, hogy a fenyegetés hosszú ideig észrevétlenül maradjon a rendszerben.

    • Összefoglalva, a hátsó ajtók rosszindulatú programjai komoly fenyegetést jelentenek, mivel hosszú távú, rejtett hozzáférést biztosítanak a támadóknak a rendszerekhez, lehetővé téve számukra, hogy adatokat lopjanak, rosszindulatú programokat terjeszthessenek, manipulálják a műveleteket és kompromittáljanak egész hálózatokat, miközben továbbra is nehezen észlelhetők és felszámolhatók.

    Felkapott

    Legnézettebb

    „Geek Squad” e-mail átverés

    Adathalászat, Spam
    37,897
    A Geek Squad, egy népszerű technikai támogatási szolgáltató a Geek Squad Email Scam nevű adathalász csalás áldozata lett. Ez a technikai támogatási átverés hamis e-maileket használ, amelyek ráveszik az embereket személyes adataik megadására, például hitelkártyaadatokra, e-mail címekre, sőt társadalombiztosítási számokra is. Ebben a cikkben magáról a csalásról fogunk beszélni, hogyan néz ki,...

    „Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

    Hamis figyelmeztető üzenetek
    29,598
    A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
    Betöltés...