Rabatttilbud for flere lisenser
Trusseldatabase Bakdører KTLVdoor Bakdør

KTLVdoor Bakdør

Med Mezo i Bakdører, Advanced Persistent Threat (APT), Skadelig programvare
Oversett til:
Norsk

Den kinesisktalende trusselgruppen kjent som Earth Lusca har blitt oppdaget å distribuere en ny bakdør kalt KTLVdoor i et cyberangrep mot et ikke avslørt handelsselskap i Kina. Denne nylig avdekket skadelig programvare, utviklet i Golang, er designet for å være på tvers av plattformer, rettet mot både Microsoft Windows- og Linux-systemer.

KTLVdoor har kraftig tilsløring og skjuler seg som forskjellige systemverktøy. Dette lar angripere utføre en rekke ondsinnede aktiviteter, inkludert filmanipulering, kommandoutførelse og ekstern portskanning.

Å utgi seg for legitime verktøy

KTLVdoor maskerer seg som flere verktøy, inkludert sshd, Java, SQLite, bash og edr-agent, blant andre. Skadevaren distribueres enten som et bibliotek med dynamiske koblinger (.dll) eller et delt objekt (.so).

Et bemerkelsesverdig aspekt ved denne aktiviteten er identifiseringen av over 50 Command-and-Control (C&C)-servere, alle hostet av det kinesiske selskapet Alibaba. Disse serverne har blitt koblet til ulike malware-varianter, noe som tyder på potensialet for delt infrastruktur med andre kinesiske trusselaktører.

Trusselskuespillere har vært aktive i flere år

Earth Lusca har vært aktiv siden minst 2021, og utført cyberangrep rettet mot både offentlige og private institusjoner over hele Asia, Australia, Europa og Nord-Amerika. Gruppen antas å ha noen taktiske likheter med andre inntrengningssett kjent som RedHotel og APT27 (også referert til som Budworm, Emissary Panda og Iron Tiger).

Gruppens siste malware, KTLVdoor, er svært uklar. Den henter navnet fra en markør merket 'KTLV' som finnes i konfigurasjonsfilen, som inkluderer forskjellige parametere som er nødvendige for operasjonene, for eksempel Command-and-Control (C&C)-serverne den kobler til.

Mange ukjente gjenstår fortsatt

Når den er aktivert, kontakter skadevare gjentatte ganger Command-and-Control-serveren (C&C) og venter på at ytterligere instruksjoner skal utføres på det kompromitterte systemet. Den støtter forskjellige kommandoer, inkludert nedlasting og opplasting av filer, oppregning av filsystemet, lansering av et interaktivt skall, kjøring av skallkode og gjennomføring av skanninger ved hjelp av verktøy som ScanTCP, ScanRDP, DialTLS, ScanPing og ScanWeb, blant andre.

Imidlertid er detaljer om hvordan skadelig programvare distribueres og om den har blitt brukt mot andre mål over hele verden fortsatt uklare.

Mens Earth Lusca bruker dette nye verktøyet, er det en mulighet for at det også kan brukes av andre kinesisktalende trusselaktører. Det faktum at alle C&C-servere ble hostet på IP-adresser fra Alibaba, en kinesisk leverandør, har fått forskere til å spekulere i at skadevaren og dens C&C-infrastruktur kan være en del av en tidlig testfase for nye verktøy.

Bakdørstrusler utsetter ofre for alvorlige konsekvenser

Backdoor malware utgjør alvorlige farer fordi den gir angripere uautorisert, skjult tilgang til kompromitterte systemer, og omgår normale sikkerhetstiltak. Noen av de viktigste truslene knyttet til bakdørs malware inkluderer:

  • Vedvarende kontroll : Bakdører lar angripere opprettholde langsiktig tilgang til et system, ofte uoppdaget. Denne vedvarende tilgangen gjør det mulig for angripere å kontinuerlig overvåke og manipulere systemet over tid, noe som gjør det vanskelig å fjerne trusselen.
  • Datatyveri : Angripere kan høste sensitiv informasjon som finansiell data, åndsverk, påloggingsinformasjon og konfidensiell kommunikasjon. Disse innsamlede dataene kan selges, brukes til svindel eller føre til ytterligere angrep, inkludert identitetstyveri eller spionasje.
  • Nettverksutnyttelse : En gang inne kan en bakdør-malware spre seg sideveis over et nettverk, infisere andre enheter og utvide omfanget av angrepet. Dette kan føre til fullstendig nettverkskompromiss, slik at angripere kan kontrollere flere systemer samtidig.
  • Levering av annen skadelig programvare : Bakdører kan brukes som en leveringsmekanisme for ytterligere skadelig programvare, for eksempel løsepengeprogramvare, spyware eller keyloggere, som kan forårsake ytterligere skade og forstyrrelser.
  • Systemmanipulasjon og sabotasje : Angripere kan utføre kommandoer på det infiserte systemet, endre konfigurasjoner, slette eller ødelegge filer, deaktivere sikkerhetsverktøy og forstyrre kritiske tjenester. I tilfeller med industrielle eller statlige systemer kan dette føre til alvorlige operasjonelle eller infrastrukturskader.
  • Ekstern overvåking og kontroll : Bakdørs malware lar angripere stille overvåke aktiviteter, registrere tastetrykk, ta skjermbilder og logge brukeratferd. Dette overvåkingsnivået kan kompromittere sikkerhetspolitikken og tillate angriperen å utnytte sårbarheter uten oppdagelse.
  • Eskalering av privilegier : Angripere bruker ofte bakdører for å eskalere privilegiene sine på et system, og gir dem full administrativ kontroll. Dette lar dem omgå sikkerhetsprotokoller, noe som gjør det nesten umulig for legitime brukere eller sikkerhetsteam å gjenvinne kontrollen.
  • Vanskelig gjenkjenning og fjerning : Bakdørs malware er ofte utformet for å være svært tilslørt og snikende, noe som gjør det vanskelig å oppdage med tradisjonelle antivirus- eller sikkerhetsverktøy. Det kan også deaktivere eller unngå deteksjonsverktøy, slik at trusselen kan forbli i systemet uoppdaget i lange perioder.

    • Oppsummert er en bakdør-malware en alvorlig trussel fordi den gir angripere langsiktig, skjult tilgang til systemer, som gjør dem i stand til å stjele data, spre skadelig programvare, manipulere operasjoner og kompromittere hele nettverk, alt mens det fortsatt er vanskelig å oppdage og utrydde.

    Trender

    Mest sett

    Laster inn...