Vairāku licenču atlaides piedāvājums
Draudu datu bāze Aizmugures durvis KTLVdoor Backdoor

KTLVdoor Backdoor

Līdz Mezo. gadam Aizmugures durvis, Advanced Persistent Threat (APT), Ļaunprātīga programmatūra. gadā
Tulkot uz:
Latviešu

Ķīniešu valodā runājošā draudu grupa, kas pazīstama kā Earth Lusca, ir atklāta, izvietojot jaunas aizmugures durvis ar nosaukumu KTLVdoor kiberuzbrukumā pret nezināmu tirdzniecības uzņēmumu Ķīnā. Šī nesen atklātā ļaunprogrammatūra, kas izstrādāta Golangā, ir paredzēta vairāku platformu lietošanai, mērķējot gan uz Microsoft Windows, gan Linux sistēmām.

KTLVdoor ir spēcīga neskaidrība un tiek maskēta kā dažādas sistēmas utilītas. Tas ļauj uzbrucējiem veikt dažādas ļaunprātīgas darbības, tostarp manipulācijas ar failiem, komandu izpildi un attālo portu skenēšanu.

Uzdošanās par likumīgiem rīkiem

KTLVdoor maskējas kā vairāki rīki, tostarp sshd, Java, SQLite, bash un edr-agent. Ļaunprātīga programmatūra tiek izplatīta vai nu kā dinamiskās saites bibliotēka (.dll), vai kā koplietots objekts (.so).

Ievērojams šīs darbības aspekts ir vairāk nekā 50 Command-and-Control (C&C) serveru identificēšana, kurus visus mitina Ķīnas uzņēmums Alibaba. Šie serveri ir saistīti ar dažādiem ļaunprātīgas programmatūras variantiem, kas liecina par iespējamu kopīgu infrastruktūru ar citiem Ķīnas apdraudējuma dalībniekiem.

Draudu aktieri ir aktīvi darbojušies vairākus gadus

Earth Lusca ir bijusi aktīva vismaz kopš 2021. gada, veicot kiberuzbrukumus gan valsts, gan privātā sektora iestādēm visā Āzijā, Austrālijā, Eiropā un Ziemeļamerikā. Tiek uzskatīts, ka grupai ir dažas taktiskas līdzības ar citiem ielaušanās komplektiem, kas pazīstami kā RedHotel un APT27 (saukti arī par Budworm, Emissary Panda un Iron Tiger).

Grupas jaunākā ļaunprogrammatūra KTLVdoor ir ļoti neskaidra. Tā nosaukums ir cēlies no marķiera ar nosaukumu “KTLV”, kas atrodams tā konfigurācijas failā, kurā ir iekļauti dažādi tā darbībai nepieciešamie parametri, piemēram, komandu un vadības (C&C) serveri, ar kuriem tas savienojas.

Joprojām ir daudz nezināmā

Kad ļaunprogrammatūra ir aktivizēta, tā atkārtoti sazinās ar Command-and-Control (C&C) serveri, gaidot turpmākus norādījumus, kas jāizpilda apdraudētajā sistēmā. Tā atbalsta dažādas komandas, tostarp failu lejupielādi un augšupielādi, failu sistēmas uzskaitīšanu, interaktīva apvalka palaišanu, čaulas koda palaišanu un skenēšanu, izmantojot tādus rīkus kā ScanTCP, ScanRDP, DialTLS, ScanPing un ScanWeb.

Tomēr sīkāka informācija par to, kā ļaunprātīga programmatūra tiek izplatīta un vai tā ir izmantota pret citiem mērķiem visā pasaulē, joprojām nav skaidra.

Kamēr Earth Lusca izmanto šo jauno rīku, pastāv iespēja, ka to var izmantot arī citi ķīniešu valodā runājošie draudu dalībnieki. Fakts, ka visi C&C serveri tika mitināti ar Ķīnas pakalpojumu sniedzēja Alibaba IP adresēm, lika pētniekiem domāt, ka ļaunprātīgā programmatūra un tās C&C infrastruktūra varētu būt daļa no jaunu rīku agrīnas testēšanas fāzes.

Aizmugures durvju draudi pakļauj upurus nopietnām sekām

Aizmugurējo durvju ļaunprogrammatūra rada nopietnas briesmas, jo tā nodrošina uzbrucējiem nesankcionētu, slēptu piekļuvi uzlauztām sistēmām, apejot parastos drošības pasākumus. Daži no nozīmīgākajiem draudiem, kas saistīti ar aizmugures durvju ļaunprātīgu programmatūru, ir šādi:

  • Pastāvīga kontrole : aizmugures durvis ļauj uzbrucējiem saglabāt ilgtermiņa piekļuvi sistēmai, bieži vien nepamanot. Šī pastāvīgā piekļuve ļauj uzbrucējiem laika gaitā nepārtraukti uzraudzīt sistēmu un ar to manipulēt, tādējādi apgrūtinot apdraudējuma novēršanu.
  • Datu zādzība : uzbrucēji var iegūt sensitīvu informāciju, piemēram, finanšu datus, intelektuālo īpašumu, pieteikšanās akreditācijas datus un konfidenciālu saziņu. Šos savāktos datus var pārdot, izmantot krāpšanai vai izraisīt turpmākus uzbrukumus, tostarp identitātes zādzību vai spiegošanu.
  • Tīkla ekspluatācija : nokļūstot iekšā, aizmugures durvju ļaunprātīga programmatūra var izplatīties sāniski tīklā, inficējot citas ierīces un paplašinot uzbrukuma jomu. Tas var novest pie pilnīga tīkla kompromisa, ļaujot uzbrucējiem vienlaikus kontrolēt vairākas sistēmas.
  • Citas ļaunprātīgas programmatūras piegāde : Backdoors var izmantot kā papildu ļaunprātīgas programmatūras, piemēram, izspiedējprogrammatūras, spiegprogrammatūras vai taustiņu bloķētāju, piegādes mehānismu, kas var izraisīt turpmākus bojājumus un traucējumus.
  • Sistēmas manipulācijas un sabotāža : uzbrucēji var izpildīt komandas inficētajā sistēmā, mainīt konfigurācijas, dzēst vai sabojāt failus, atspējot drošības rīkus un traucēt svarīgu pakalpojumu darbību. Rūpniecisko vai valdības sistēmu gadījumā tas var izraisīt nopietnus darbības vai infrastruktūras bojājumus.
  • Attālā uzraudzība un kontrole : Backdoor ļaunprātīga programmatūra ļauj uzbrucējiem klusi pārraudzīt darbības, ierakstīt taustiņsitienus, tvert ekrānuzņēmumus un reģistrēt lietotāju uzvedību. Šāds uzraudzības līmenis var apdraudēt drošības politikas un ļaut uzbrucējam bez atklāšanas izmantot ievainojamības.
  • Privilēģiju eskalācija : uzbrucēji bieži izmanto aizmugures durvis, lai palielinātu savas privilēģijas sistēmā, nodrošinot viņiem pilnīgu administratīvo kontroli. Tas ļauj viņiem apiet drošības protokolus, padarot likumīgiem lietotājiem vai drošības komandām gandrīz neiespējamu atgūt kontroli.
  • Sarežģīta noteikšana un noņemšana : Backdoor ļaunprogrammatūra bieži ir izstrādāta tā, lai tā būtu ļoti neskaidra un slepena, tāpēc to ir grūti noteikt, izmantojot tradicionālos pretvīrusu vai drošības rīkus. Tas var arī atspējot noteikšanas rīkus vai izvairīties no tiem, ļaujot apdraudējumam palikt sistēmā neatklātam ilgu laiku.

    • Rezumējot, aizmugures ļaunprātīga programmatūra ir nopietns drauds, jo tā nodrošina uzbrucējiem ilgtermiņa, slēptu piekļuvi sistēmām, ļaujot tiem nozagt datus, izplatīt ļaunprātīgu programmatūru, manipulēt ar darbībām un apdraudēt veselus tīklus, vienlaikus paliekot grūti atklāt un izskaust.

    Tendences

    Visvairāk skatīts

    “Geek Squad” e-pasta krāpniecība

    Pikšķerēšana, Mēstules
    37,897
    Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...

    Uznirstošie logi “Ja jums ir 18 gadi, pieskarieties...

    Viltus brīdinājuma ziņojumi
    29,598
    Uznirstošie logi “Ja jums ir 18 gadus, pieskarieties Atļaut” ir uznirstošo reklāmu veids, kas tiek rādīts lietotāja ekrānā, pārlūkojot internetu. Šie uznirstošie logi var būt diezgan satraucoši lietotājiem, jo viņi mudina viņus noklikšķināt uz pogas "atļaut", lai turpinātu izmantot vietni, kurā viņi pašlaik atrodas. Šie uznirstošie logi ir saistīti ar tādām nevēlamām programmām kā...
    Notiek ielāde...