KTLVdoor 백도어

Earth Lusca라는 중국어를 사용하는 위협 그룹이 중국의 비공개 무역 회사를 상대로 한 사이버 공격에서 KTLVdoor라는 새로운 백도어를 배포하는 것으로 감지되었습니다. Golang으로 개발된 이 새롭게 발견된 맬웨어는 크로스 플랫폼으로 설계되어 Microsoft Windows와 Linux 시스템을 모두 타겟으로 합니다.

KTLVdoor는 강력한 난독화를 특징으로 하며 다양한 시스템 유틸리티로 위장합니다. 이를 통해 공격자는 파일 조작, 명령 실행 및 원격 포트 스캐닝을 포함한 다양한 악성 활동을 수행할 수 있습니다.

합법적인 도구를 사칭함

KTLVdoor는 sshd, Java, SQLite, bash, edr-agent 등 여러 도구로 위장합니다. 이 맬웨어는 동적 링크 라이브러리(.dll) 또는 공유 객체(.so)로 배포됩니다.

이 활동의 주목할 만한 측면은 중국 기업 Alibaba가 모두 호스팅하는 50개 이상의 명령 및 제어(C&C) 서버를 식별한 것입니다. 이 서버는 다양한 맬웨어 변형과 연결되어 다른 중국 위협 행위자와 인프라를 공유할 가능성이 있음을 시사합니다.

위협 행위자들은 수년간 활동해 왔습니다.

Earth Lusca는 적어도 2021년부터 활동해 왔으며, 아시아, 호주, 유럽, 북미 전역의 공공 및 민간 부문 기관을 대상으로 사이버 공격을 수행해 왔습니다. 이 그룹은 RedHotel 및 APT27 (Budworm, Emissary Panda 및 Iron Tiger라고도 함)로 알려진 다른 침입 세트와 전술적 유사성이 있는 것으로 여겨집니다.

이 그룹의 최신 맬웨어인 KTLVdoor는 매우 난독화되어 있습니다. 이 이름은 구성 파일에서 발견되는 'KTLV'라는 마커에서 유래되었는데, 여기에는 연결된 명령 및 제어(C&C) 서버와 같이 작업에 필요한 다양한 매개변수가 포함됩니다.

아직도 알려지지 않은 것들이 많이 남아 있습니다

일단 활성화되면, 맬웨어는 명령 및 제어(C&C) 서버에 반복적으로 접속하여, 손상된 시스템에서 실행하기 위한 추가 지시를 기다립니다. 파일 다운로드 및 업로드, 파일 시스템 열거, 대화형 셸 시작, 셸코드 실행, ScanTCP, ScanRDP, DialTLS, ScanPing, ScanWeb 등의 도구를 사용하여 스캔을 수행하는 등 다양한 명령을 지원합니다.

하지만 이 악성 소프트웨어가 어떻게 배포되었는지, 그리고 전 세계의 다른 대상에게 사용되었는지 여부에 대한 자세한 내용은 아직 불확실합니다.

Earth Lusca가 이 새로운 도구를 사용하는 동안, 다른 중국어를 사용하는 위협 행위자들도 이를 사용할 가능성이 있습니다. 모든 C&C 서버가 중국 공급업체인 Alibaba의 IP 주소에서 호스팅되었다는 사실로 인해 연구자들은 맬웨어와 C&C 인프라가 새로운 도구에 대한 초기 테스트 단계의 일부일 수 있다고 추측하게 되었습니다.

백도어 위협은 피해자를 심각한 결과에 노출시킨다

백도어 맬웨어는 공격자에게 정상적인 보안 조치를 우회하여 손상된 시스템에 대한 허가되지 않은 은밀한 액세스를 제공하기 때문에 심각한 위험을 초래합니다. 백도어 맬웨어와 관련된 가장 중요한 위협 중 일부는 다음과 같습니다.

• 지속적인 제어 : 백도어는 공격자가 종종 감지되지 않은 채로 시스템에 장기간 접근할 수 있게 합니다. 이 지속적인 접근을 통해 공격자는 시간이 지남에 따라 시스템을 지속적으로 모니터링하고 조작할 수 있어 위협을 제거하기 어렵게 만듭니다.
• 데이터 도난 : 공격자는 재무 데이터, 지적 재산, 로그인 자격 증명 및 기밀 통신과 같은 민감한 정보를 수집할 수 있습니다. 이렇게 수집된 데이터는 판매되거나 사기에 사용되거나 신원 도용 또는 간첩 행위를 포함한 추가 공격으로 이어질 수 있습니다.
• 네트워크 악용 : 백도어 맬웨어가 네트워크에 침투하면 네트워크 전체에 걸쳐 측면으로 퍼져 다른 기기를 감염시키고 공격 범위를 확장할 수 있습니다. 이는 전체 네트워크 손상으로 이어져 공격자가 여러 시스템을 동시에 제어할 수 있게 합니다.
• 다른 맬웨어 전달 : 백도어는 랜섬웨어, 스파이웨어, 키로거 등 추가적인 맬웨어를 전달하는 수단으로 사용될 수 있으며, 이는 추가적인 피해와 혼란을 일으킬 수 있습니다.
• 시스템 조작 및 방해 : 공격자는 감염된 시스템에서 명령을 실행하여 구성을 변경하고, 파일을 삭제하거나 손상시키고, 보안 도구를 비활성화하고, 중요한 서비스를 중단시킬 수 있습니다. 산업 또는 정부 시스템의 경우 심각한 운영 또는 인프라 손상으로 이어질 수 있습니다.
• 원격 모니터링 및 제어 : 백도어 맬웨어는 공격자가 활동을 조용히 모니터링하고, 키 입력을 기록하고, 스크린샷을 캡처하고, 사용자 동작을 로깅할 수 있도록 합니다. 이 수준의 감시는 보안 정책을 손상시키고 공격자가 감지되지 않고 취약점을 악용할 수 있도록 합니다.
• 권한 상승 : 공격자는 종종 백도어를 사용하여 시스템에서 권한을 상승시켜 전체 관리 제어권을 얻습니다. 이를 통해 보안 프로토콜을 우회하여 합법적인 사용자나 보안 팀이 제어권을 되찾는 것이 거의 불가능해집니다.

요약하자면, 백도어 맬웨어는 공격자에게 시스템에 장기간 은밀하게 접근할 수 있는 권한을 부여하여 데이터를 훔치고, 맬웨어를 퍼뜨리고, 작업을 조작하고, 전체 네트워크를 손상시킬 수 있는 심각한 위협입니다. 그러면서도 감지하고 근절하기 어렵습니다.