Pintu Belakang KTLVdoor
Kumpulan ancaman berbahasa Cina yang dikenali sebagai Earth Lusca telah dikesan menggunakan pintu belakang baharu yang dipanggil KTLVdoor dalam serangan siber terhadap syarikat perdagangan yang tidak didedahkan di China. Perisian hasad yang baru ditemui ini, dibangunkan di Golang, direka bentuk untuk merentas platform, menyasarkan kedua-dua sistem Microsoft Windows dan Linux.
KTLVdoor menampilkan kebingungan berat dan menyamar sebagai pelbagai utiliti sistem. Ini membolehkan penyerang melakukan pelbagai aktiviti berniat jahat, termasuk manipulasi fail, pelaksanaan arahan dan pengimbasan port jauh.
Isi kandungan
Menyamar sebagai Alat Sah
KTLVdoor menyamar sebagai beberapa alatan, termasuk sshd, Java, SQLite, bash, dan edr-agent, antara lain. Perisian hasad diedarkan sama ada sebagai perpustakaan pautan dinamik (.dll) atau objek kongsi (.so).
Aspek yang ketara dalam aktiviti ini ialah mengenal pasti lebih 50 pelayan Command-and-Control (C&C), semuanya dihoskan oleh syarikat China Alibaba. Pelayan ini telah dipautkan kepada pelbagai varian perisian hasad, mencadangkan potensi untuk berkongsi infrastruktur dengan pelakon ancaman China yang lain.
Pelakon Ancaman Telah Aktif Selama Beberapa Tahun
Earth Lusca telah aktif sejak sekurang-kurangnya 2021, melakukan serangan siber yang menyasarkan kedua-dua institusi sektor awam dan swasta di seluruh Asia, Australia, Eropah dan Amerika Utara. Kumpulan itu dipercayai mempunyai beberapa persamaan taktikal dengan set pencerobohan lain yang dikenali sebagai RedHotel dan APT27 (juga dirujuk sebagai Budworm, Emissary Panda dan Iron Tiger).
Perisian hasad terbaharu kumpulan itu, KTLVdoor, sangat dikaburkan. Ia memperoleh namanya daripada penanda berlabel 'KTLV' yang terdapat dalam fail konfigurasinya, yang merangkumi pelbagai parameter yang diperlukan untuk operasinya, seperti pelayan Command-and-Control (C&C) yang disambungkannya.
Masih Banyak Yang Tidak Diketahui
Setelah diaktifkan, perisian hasad berulang kali menghubungi pelayan Command-and-Control (C&C), menunggu arahan selanjutnya untuk dilaksanakan pada sistem yang terjejas. Ia menyokong pelbagai arahan, termasuk memuat turun dan memuat naik fail, menyenaraikan sistem fail, melancarkan shell interaktif, menjalankan shellcode dan menjalankan imbasan menggunakan alat seperti ScanTCP, ScanRDP, DialTLS, ScanPing dan ScanWeb, antara lain.
Walau bagaimanapun, butiran tentang cara perisian hasad diedarkan dan sama ada ia telah digunakan terhadap sasaran lain di seluruh dunia masih tidak jelas.
Walaupun Earth Lusca menggunakan alat baharu ini, terdapat kemungkinan ia juga boleh digunakan oleh pelakon ancaman berbahasa Cina yang lain. Hakikat bahawa semua pelayan C&C dihoskan pada alamat IP daripada Alibaba, penyedia China, telah menyebabkan penyelidik membuat spekulasi bahawa perisian hasad dan infrastruktur C&Cnya boleh menjadi sebahagian daripada fasa ujian awal untuk alatan baharu.
Ancaman Pintu Belakang Mendedahkan Mangsa kepada Akibat Teruk
Malware pintu belakang menimbulkan bahaya yang serius kerana ia memberikan penyerang akses rahsia yang tidak dibenarkan kepada sistem yang terjejas, memintas langkah keselamatan biasa. Beberapa ancaman paling ketara yang dikaitkan dengan perisian hasad pintu belakang termasuk:
- Kawalan Berterusan : Pintu belakang membenarkan penyerang mengekalkan akses jangka panjang kepada sistem, selalunya tidak dapat dikesan. Akses berterusan ini membolehkan penyerang memantau dan memanipulasi sistem secara berterusan dari semasa ke semasa, menjadikannya sukar untuk mengalih keluar ancaman.
- Kecurian Data : Penyerang boleh mengumpul maklumat sensitif seperti data kewangan, harta intelek, bukti kelayakan log masuk dan komunikasi sulit. Data yang dituai ini boleh dijual, digunakan untuk penipuan atau membawa kepada serangan lanjut, termasuk pencurian identiti atau pengintipan.
- Eksploitasi Rangkaian : Sekali masuk, perisian hasad pintu belakang boleh merebak ke sisi merentasi rangkaian, menjangkiti peranti lain dan meluaskan skop serangan. Ini boleh membawa kepada kompromi rangkaian penuh, membolehkan penyerang mengawal berbilang sistem secara serentak.
- Penghantaran Perisian Hasad Lain : Pintu belakang boleh digunakan sebagai mekanisme penghantaran untuk perisian hasad tambahan, seperti perisian tebusan, perisian pengintip atau keylogger, yang boleh menyebabkan kerosakan dan gangguan selanjutnya.
- Manipulasi dan Sabotaj Sistem : Penyerang boleh melaksanakan arahan pada sistem yang dijangkiti, mengubah konfigurasi, memadam atau merosakkan fail, melumpuhkan alat keselamatan dan mengganggu perkhidmatan kritikal. Dalam kes sistem perindustrian atau kerajaan, ini boleh menyebabkan kerosakan operasi atau infrastruktur yang teruk.
- Pemantauan dan Kawalan Jauh : Malware pintu belakang membenarkan penyerang memantau aktiviti secara senyap, merakam ketukan kekunci, menangkap tangkapan skrin dan mengelog tingkah laku pengguna. Tahap pengawasan ini boleh menjejaskan dasar keselamatan dan membenarkan penyerang mengeksploitasi kelemahan tanpa pengesanan.
- Peningkatan Keistimewaan : Penyerang sering menggunakan pintu belakang untuk meningkatkan keistimewaan mereka pada sistem, memberikan mereka kawalan pentadbiran penuh. Ini membolehkan mereka memintas protokol keselamatan, menjadikannya hampir mustahil untuk pengguna atau pasukan keselamatan yang sah untuk mendapatkan semula kawalan.
Ringkasnya, perisian hasad pintu belakang adalah ancaman serius kerana ia memberikan penyerang akses tersembunyi jangka panjang kepada sistem, membolehkan mereka mencuri data, menyebarkan perisian hasad, memanipulasi operasi dan menjejaskan keseluruhan rangkaian, semuanya masih sukar untuk dikesan dan dihapuskan.
