Porta sul retro KTLVdoor

Il gruppo di minacce di lingua cinese noto come Earth Lusca è stato scoperto mentre distribuiva una nuova backdoor chiamata KTLVdoor in un attacco informatico contro una società commerciale non divulgata in Cina. Questo malware appena scoperto, sviluppato in Golang, è progettato per essere multipiattaforma, prendendo di mira sia i sistemi Microsoft Windows che Linux.

KTLVdoor presenta un offuscamento pesante e si camuffa da varie utilità di sistema. Ciò consente agli aggressori di eseguire una serie di attività dannose, tra cui la manipolazione di file, l'esecuzione di comandi e la scansione di porte remote.

Impersonare strumenti legittimi

KTLVdoor si maschera da diversi strumenti, tra cui sshd, Java, SQLite, bash ed edr-agent, tra gli altri. Il malware è distribuito come libreria a collegamento dinamico (.dll) o oggetto condiviso (.so).

Un aspetto degno di nota di questa attività è l'identificazione di oltre 50 server Command-and-Control (C&C), tutti ospitati dalla società cinese Alibaba. Questi server sono stati collegati a varie varianti di malware, suggerendo il potenziale per un'infrastruttura condivisa con altri attori di minacce cinesi.

Gli attori della minaccia sono attivi da diversi anni

Earth Lusca è attivo almeno dal 2021, eseguendo attacchi informatici mirati a istituzioni pubbliche e private in Asia, Australia, Europa e Nord America. Si ritiene che il gruppo abbia alcune somiglianze tattiche con altri set di intrusione noti come RedHotel e APT27 (noti anche come Budworm, Emissary Panda e Iron Tiger).

L'ultimo malware del gruppo, KTLVdoor, è altamente offuscato. Deve il suo nome a un marcatore etichettato "KTLV" trovato nel suo file di configurazione, che include vari parametri necessari per le sue operazioni, come i server Command-and-Control (C&C) a cui si connette.

Rimangono ancora molte incognite

Una volta attivato, il malware contatta ripetutamente il server Command-and-Control (C&C), in attesa di ulteriori istruzioni da eseguire sul sistema compromesso. Supporta vari comandi, tra cui il download e l'upload di file, l'enumerazione del file system, l'avvio di una shell interattiva, l'esecuzione di shellcode e l'esecuzione di scansioni utilizzando strumenti come ScanTCP, ScanRDP, DialTLS, ScanPing e ScanWeb, tra gli altri.

Tuttavia, i dettagli su come viene distribuito il malware e se è stato utilizzato contro altri obiettivi in tutto il mondo restano poco chiari.

Sebbene Earth Lusca utilizzi questo nuovo strumento, esiste la possibilità che possa essere utilizzato anche da altri attori di minacce di lingua cinese. Il fatto che tutti i server C&C fossero ospitati su indirizzi IP di Alibaba, un provider cinese, ha portato i ricercatori a ipotizzare che il malware e la sua infrastruttura C&C potrebbero essere parte di una fase di test iniziale per nuovi strumenti.

Le minacce backdoor espongono le vittime a gravi conseguenze

Il malware backdoor rappresenta un serio pericolo perché fornisce agli aggressori un accesso non autorizzato e nascosto ai sistemi compromessi, aggirando le normali misure di sicurezza. Alcune delle minacce più significative associate al malware backdoor includono:

• Controllo persistente : le backdoor consentono agli aggressori di mantenere un accesso a lungo termine a un sistema, spesso senza essere rilevati. Questo accesso persistente consente agli aggressori di monitorare e manipolare continuamente il sistema nel tempo, rendendo difficile la rimozione della minaccia.
• Furto di dati : gli aggressori possono raccogliere informazioni sensibili come dati finanziari, proprietà intellettuale, credenziali di accesso e comunicazioni riservate. Questi dati raccolti possono essere venduti, utilizzati per frodi o portare ad ulteriori attacchi, tra cui furto di identità o spionaggio.
• Sfruttamento della rete : una volta all'interno, un malware backdoor può diffondersi lateralmente attraverso una rete, infettando altri dispositivi ed espandendo la portata dell'attacco. Ciò può portare alla compromissione completa della rete, consentendo agli aggressori di controllare più sistemi contemporaneamente.
• Distribuzione di altri malware : le backdoor possono essere utilizzate come meccanismo di distribuzione di altri malware, come ransomware, spyware o keylogger, che possono causare ulteriori danni e interruzioni.
• Manipolazione e sabotaggio del sistema : gli aggressori possono eseguire comandi sul sistema infetto, alterando le configurazioni, eliminando o corrompendo file, disabilitando gli strumenti di sicurezza e interrompendo i servizi critici. Nei casi di sistemi industriali o governativi, ciò potrebbe causare gravi danni operativi o infrastrutturali.
• Monitoraggio e controllo remoto : il malware backdoor consente agli aggressori di monitorare silenziosamente le attività, registrando le sequenze di tasti, catturando schermate e registrando il comportamento degli utenti. Questo livello di sorveglianza può compromettere le policy di sicurezza e consentire all'aggressore di sfruttare le vulnerabilità senza essere scoperto.
• Escalation of Privileges : gli aggressori spesso usano backdoor per aumentare i loro privilegi su un sistema, ottenendo il pieno controllo amministrativo. Ciò consente loro di aggirare i protocolli di sicurezza, rendendo quasi impossibile per gli utenti legittimi o i team di sicurezza riprendere il controllo.

In sintesi, un malware backdoor rappresenta una minaccia seria perché garantisce agli aggressori un accesso nascosto e a lungo termine ai sistemi, consentendo loro di rubare dati, diffondere malware, manipolare operazioni e compromettere intere reti, il tutto rimanendo difficile da rilevare ed eliminare.