Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys KTLVdoor Backdoor

KTLVdoor Backdoor

Autorius Mezo, Užpakalinės durys, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa
Versti į:
Lietuvių

Kiniškai kalbanti grėsmių grupė, žinoma kaip „Earth Lusca“, buvo aptikta dislokuojanti naujas užpakalines duris, pavadintas „KTLVdoor“, per kibernetinę ataką prieš neskelbtiną prekybos įmonę Kinijoje. Ši naujai atidengta kenkėjiška programa, sukurta Golange, skirta naudoti įvairiose platformose, skirta tiek Microsoft Windows, tiek Linux sistemoms.

KTLVdoor pasižymi dideliu užtemdymu ir užmaskuojama kaip įvairios sistemos priemonės. Tai leidžia užpuolikams atlikti daugybę kenkėjiškų veiksmų, įskaitant manipuliavimą failais, komandų vykdymą ir nuotolinio prievado nuskaitymą.

Apsimetinėti teisėtais įrankiais

KTLVdoor maskuojasi kaip keli įrankiai, įskaitant sshd, Java, SQLite, bash ir edr-agent ir kt. Kenkėjiška programa platinama kaip dinaminių saitų biblioteka (.dll) arba kaip bendrai naudojamas objektas (.so).

Svarbus šios veiklos aspektas yra daugiau nei 50 „Command-and-Control“ (C&C) serverių, kuriuos visus priglobia Kinijos įmonė „Alibaba“, identifikavimas. Šie serveriai buvo susieti su įvairiais kenkėjiškų programų variantais, o tai rodo, kad gali būti bendra infrastruktūra su kitais Kinijos grėsmės veikėjais.

Grėsmių aktoriai buvo aktyvūs keletą metų

„Earth Lusca“ veikia mažiausiai nuo 2021 m., vykdydama kibernetines atakas, nukreiptas į viešojo ir privataus sektoriaus institucijas visoje Azijoje, Australijoje, Europoje ir Šiaurės Amerikoje. Manoma, kad grupė turi tam tikrų taktinių panašumų su kitais įsibrovimų rinkiniais, žinomais kaip RedHotel ir APT27 (taip pat vadinami Budworm, Emissary Panda ir Iron Tiger).

Naujausia grupės kenkėjiška programa KTLVdoor yra labai užtemdyta. Jo pavadinimas kilęs iš žymeklio, pažymėto „KTLV“, esančio jo konfigūracijos faile, kuriame yra įvairūs jo veikimui būtini parametrai, pvz., komandų ir valdymo (C&C) serveriai, prie kurių jis jungiasi.

Dar liko daug nežinomųjų

Suaktyvinta kenkėjiška programa pakartotinai susisiekia su komandų ir valdymo (C&C) serveriu, laukdama tolesnių instrukcijų, kurios bus vykdomos pažeistoje sistemoje. Jis palaiko įvairias komandas, įskaitant failų atsisiuntimą ir įkėlimą, failų sistemos išvardinimą, interaktyvaus apvalkalo paleidimą, apvalkalo kodo paleidimą ir nuskaitymą naudojant tokius įrankius kaip ScanTCP, ScanRDP, DialTLS, ScanPing ir ScanWeb ir kt.

Tačiau išsami informacija apie tai, kaip kenkėjiška programa platinama ir ar ji buvo panaudota prieš kitus objektus visame pasaulyje, lieka neaiški.

Nors „Earth Lusca“ naudoja šį naują įrankį, yra tikimybė, kad jį gali naudoti ir kiti kiniškai kalbantys grėsmės veikėjai. Tai, kad visi C&C serveriai buvo priglobti Kinijos tiekėjo „Alibaba“ IP adresais, paskatino tyrėjus spėti, kad kenkėjiška programa ir jos C&C infrastruktūra gali būti ankstyvojo naujų įrankių testavimo etapo dalis.

Užpakalinių durų grėsmės aukoms sukelia rimtų pasekmių

„Backdoor“ kenkėjiška programa kelia rimtą pavojų, nes suteikia užpuolikams neteisėtą, slaptą prieigą prie pažeistų sistemų, apeinant įprastas saugumo priemones. Kai kurios iš svarbiausių grėsmių, susijusių su užpakalinių durų kenkėjiška programa, yra šios:

  • Nuolatinė kontrolė : Užpakalinės durys leidžia užpuolikams išlaikyti ilgalaikę prieigą prie sistemos, dažnai nepastebimo. Dėl šios nuolatinės prieigos užpuolikai laikui bėgant gali nuolat stebėti ir manipuliuoti sistema, todėl sunku pašalinti grėsmę.
  • Duomenų vagystė : užpuolikai gali rinkti neskelbtiną informaciją, pvz., finansinius duomenis, intelektinę nuosavybę, prisijungimo duomenis ir konfidencialią komunikaciją. Šie surinkti duomenys gali būti parduoti, panaudoti sukčiavimui arba sukelti tolesnius išpuolius, įskaitant tapatybės vagystę ar šnipinėjimą.
  • Tinklo išnaudojimas : patekusi į vidų, užpakalinių durų kenkėjiška programa gali išplisti tinkle, užkrėsdama kitus įrenginius ir išplėsdama atakos apimtį. Tai gali sukelti visišką tinklo kompromisą, leidžiantį užpuolikams vienu metu valdyti kelias sistemas.
  • Kitų kenkėjiškų programų pristatymas : „Backdoors“ gali būti naudojamas kaip papildomų kenkėjiškų programų, pvz., išpirkos reikalaujančių programų, šnipinėjimo programų ar klavišų registratorių, pristatymo mechanizmas, kuris gali sukelti tolesnę žalą ir trikdžius.
  • Sistemos manipuliavimas ir sabotažas : užpuolikai gali vykdyti komandas užkrėstoje sistemoje, keisti konfigūracijas, ištrinti arba sugadinti failus, išjungti saugos įrankius ir sutrikdyti svarbių paslaugų teikimą. Pramoninių ar vyriausybinių sistemų atveju tai gali sukelti rimtą žalą eksploatacijai arba infrastruktūrai.
  • Nuotolinis stebėjimas ir valdymas : „Backdoor“ kenkėjiška programa leidžia užpuolikams tyliai stebėti veiklą, įrašyti klavišų paspaudimus, fiksuoti ekrano kopijas ir registruojant naudotojų elgesį. Toks stebėjimo lygis gali pakenkti saugumo politikai ir leisti užpuolikui neaptikti išnaudoti pažeidžiamumą.
  • Privilegijų eskalavimas : užpuolikai dažnai naudoja užpakalines duris, kad padidintų savo privilegijas sistemoje, suteikdami jiems visišką administracinę kontrolę. Tai leidžia jiems apeiti saugos protokolus, todėl teisėtiems vartotojams ar apsaugos komandoms beveik neįmanoma susigrąžinti kontrolės.
  • Sunkus aptikimas ir pašalinimas : „Backdoor“ kenkėjiška programa dažnai sukurta taip, kad būtų labai užmaskuota ir slapta, todėl ją sunku aptikti naudojant tradicinius antivirusinius ar saugos įrankius. Jis taip pat gali išjungti aptikimo įrankius arba išvengti jų, todėl grėsmė sistemoje gali likti nepastebėta ilgą laiką.

    • Apibendrinant galima pasakyti, kad užpakalinių durų kenkėjiška programa yra rimta grėsmė, nes ji suteikia užpuolikams ilgalaikę, paslėptą prieigą prie sistemų, leidžiančią jiems pavogti duomenis, platinti kenkėjiškas programas, manipuliuoti operacijomis ir pažeisti ištisus tinklus, tačiau sunku aptikti ir išnaikinti.

    Tendencijos

    Labiausiai žiūrima

    „Geek Squad“ el. pašto sukčiavimas

    Sukčiavimas, Šlamštas
    37,897
    „Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...

    Iššokantieji langai „Jei jums 18 metų, bakstelėkite...

    Netikri įspėjamieji pranešimai
    29,598
    Iššokantieji langai „Jei esate 18 metų, bakstelėkite leisti“ yra iššokančiųjų langų tipas, kuris rodomas vartotojo ekrane naršant internete. Šie iššokantieji langai gali kelti nerimą vartotojams, nes jie ragina spustelėti mygtuką „leisti“, kad toliau naudotųsi svetaine, kurioje jie šiuo metu yra. Šie iššokantys langai yra susiję su tokiomis nepageidaujamomis programomis kaip reklaminė...
    Įkeliama...