KTLVdoor पछाडिको ढोका

अर्थ लुस्का भनेर चिनिने चिनियाँ भाषी खतरा समूहले चीनको एक अज्ञात व्यापारिक कम्पनी विरुद्ध साइबर आक्रमणमा KTLVdoor भनिने नयाँ ब्याकडोर तैनाथ गरेको पत्ता लागेको छ। यो नयाँ खुलासा मालवेयर, Golang मा विकसित, क्रस-प्लेटफर्म हुन डिजाइन गरीएको छ, दुबै Microsoft Windows र Linux प्रणालीहरूलाई लक्षित गर्दै।

KTLVdoor ले भारी अस्पष्टता फिचर गर्दछ र आफैलाई विभिन्न प्रणाली उपयोगिताहरूको रूपमा लुकाउँछ। यसले आक्रमणकर्ताहरूलाई फाइल हेरफेर, आदेश कार्यान्वयन र रिमोट पोर्ट स्क्यानिङ सहित दुर्भावनापूर्ण गतिविधिहरूको दायरा प्रदर्शन गर्न अनुमति दिन्छ।

प्रतिरूपण वैध उपकरणहरू

KTLVdoor sshd, Java, SQLite, bash, र edr-agent सहित धेरै उपकरणहरूको रूपमा मास्करेड गर्दछ। मालवेयर या त डायनामिक-लिङ्क लाइब्रेरी (.dll) वा साझा वस्तु (.so) को रूपमा वितरण गरिन्छ।

यस गतिविधिको एक उल्लेखनीय पक्ष ५० भन्दा बढी कमाण्ड-एण्ड-कन्ट्रोल (C&C) सर्भरहरूको पहिचान हो, ती सबै चिनियाँ कम्पनी अलिबाबाद्वारा होस्ट गरिएको हो। यी सर्भरहरूलाई विभिन्न मालवेयर भेरियन्टहरूसँग जोडिएको छ, जसले अन्य चिनियाँ खतरा अभिनेताहरूसँग साझा पूर्वाधारको सम्भावनालाई सुझाव दिन्छ।

धम्की दिने कलाकारहरू धेरै वर्षदेखि सक्रिय छन्

अर्थ लुस्का कम्तिमा २०२१ देखि सक्रिय छ, जसले एसिया, अष्ट्रेलिया, युरोप र उत्तरी अमेरिकाका सार्वजनिक र निजी क्षेत्रका संस्थाहरूलाई लक्षित गरी साइबर आक्रमणहरू गर्दछ। समूहसँग RedHotel र APT27 (जसलाई Budworm, Emissary Panda र Iron Tiger पनि भनिन्छ) भनिने अन्य घुसपैठ सेटहरूसँग केही रणनीतिक समानताहरू छन् भन्ने विश्वास गरिन्छ।

समूहको पछिल्लो मालवेयर, KTLVdoor, अत्यधिक अस्पष्ट छ। यसले यसको कन्फिगरेसन फाइलमा फेला परेको 'KTLV' लेबल गरिएको मार्करबाट यसको नाम लिइएको हो, जसमा यसको सञ्चालनका लागि आवश्यक विभिन्न प्यारामिटरहरू समावेश हुन्छन्, जस्तै कमाण्ड-एन्ड-कन्ट्रोल (C&C) सर्भरहरू जसमा यो जडान हुन्छ।

धेरै अज्ञातहरू अझै बाँकी छन्

एक पटक सक्रिय भएपछि, मालवेयरले कमाण्ड-एन्ड-कन्ट्रोल (C&C) सर्भरलाई बारम्बार सम्पर्क गर्छ, सम्झौता गरिएको प्रणालीमा कार्यान्वयन गर्न थप निर्देशनहरूको प्रतीक्षा गर्दै। यसले फाइलहरू डाउनलोड गर्ने र अपलोड गर्ने, फाइल प्रणालीको गणना गर्ने, अन्तरक्रियात्मक शेल सुरु गर्ने, शेलकोड चलाउने, र ScanTCP, ScanRDP, DialTLS, ScanPing, र ScanWeb जस्ता उपकरणहरू प्रयोग गरेर स्क्यानहरू सञ्चालन गर्ने जस्ता विभिन्न आदेशहरूलाई समर्थन गर्दछ।

यद्यपि, मालवेयर कसरी वितरण गरिन्छ र यो विश्वव्यापी अन्य लक्ष्यहरू विरुद्ध प्रयोग गरिएको छ कि छैन भन्ने विवरणहरू अस्पष्ट छन्।

अर्थ लुस्काले यो नयाँ उपकरण प्रयोग गर्दा, त्यहाँ सम्भावना छ कि यो अन्य चिनियाँ-भाषी खतरा अभिनेताहरूले पनि प्रयोग गर्न सक्छ। सबै C&C सर्भरहरू चिनियाँ प्रदायक, Alibaba बाट IP ठेगानाहरूमा होस्ट गरिएको तथ्यले अनुसन्धानकर्ताहरूलाई मालवेयर र यसको C&C पूर्वाधार नयाँ उपकरणहरूको लागि प्रारम्भिक परीक्षण चरणको अंश हुन सक्छ भनेर अनुमान गर्न प्रेरित गरेको छ।

ब्याकडोर थ्रेटहरूले पीडितहरूलाई गम्भीर नतिजाहरूमा पर्दाफास गर्दछ

ब्याकडोर मालवेयरले गम्भीर खतराहरू खडा गर्छ किनभने यसले आक्रमणकारीहरूलाई सामान्य सुरक्षा उपायहरूलाई बेवास्ता गर्दै, सम्झौता प्रणालीहरूमा अनाधिकृत, गुप्त पहुँच प्रदान गर्दछ। ब्याकडोर मालवेयरसँग सम्बन्धित केही महत्त्वपूर्ण खतराहरू समावेश छन्:

• लगातार नियन्त्रण : ब्याकडोरहरूले आक्रमणकारीहरूलाई प्रणालीमा लामो-समय पहुँच कायम राख्न अनुमति दिन्छ, प्रायः पत्ता नलाग्ने। यो निरन्तर पहुँचले आक्रमणकारीहरूलाई समयसँगै प्रणालीलाई निरन्तर निगरानी र हेरफेर गर्न सक्षम बनाउँछ, यसले खतरा हटाउन गाह्रो बनाउँछ।
• डाटा चोरी : आक्रमणकारीहरूले वित्तीय डेटा, बौद्धिक सम्पत्ति, लगइन प्रमाणहरू र गोप्य संचार जस्ता संवेदनशील जानकारीहरू संकलन गर्न सक्छन्। यो काटिएको डाटा बेच्न सकिन्छ, जालसाजीको लागि प्रयोग गर्न सकिन्छ, वा पहिचान चोरी वा जासुसी सहित थप आक्रमणहरू निम्त्याउन सकिन्छ।
• सञ्जाल शोषण : एकपटक भित्र पसेपछि, ब्याकडोर मालवेयर नेटवर्कमा पार्श्व रूपमा फैलिन सक्छ, अन्य उपकरणहरूलाई संक्रमित गर्न र आक्रमणको दायरा विस्तार गर्न सक्छ। यसले आक्रमणकर्ताहरूलाई एकै साथ धेरै प्रणालीहरू नियन्त्रण गर्न अनुमति दिँदै पूर्ण नेटवर्क सम्झौता गर्न सक्छ।
• अन्य मालवेयरको डेलिभरी : ब्याकडोरहरू अतिरिक्त मालवेयर, जस्तै ransomware, spyware, वा keyloggers को लागि डेलिभरी संयन्त्रको रूपमा प्रयोग गर्न सकिन्छ, जसले थप क्षति र अवरोध निम्त्याउन सक्छ।
• प्रणाली हेरफेर र तोडफोड : आक्रमणकारीहरूले संक्रमित प्रणालीमा आदेशहरू कार्यान्वयन गर्न सक्छन्, कन्फिगरेसनहरू परिवर्तन गर्न, फाइलहरू मेटाउन वा भ्रष्ट गर्न, सुरक्षा उपकरणहरू असक्षम पार्ने, र महत्वपूर्ण सेवाहरू अवरुद्ध गर्न सक्छन्। औद्योगिक वा सरकारी प्रणालीको अवस्थामा, यसले गम्भीर परिचालन वा पूर्वाधारमा क्षति पुर्‍याउन सक्छ।
• रिमोट निगरानी र नियन्त्रण : ब्याकडोर मालवेयरले आक्रमणकारीहरूलाई मौन रूपमा गतिविधिहरू निगरानी गर्न, किस्ट्रोकहरू रेकर्ड गर्ने, स्क्रिनसटहरू खिच्ने, र प्रयोगकर्ता व्यवहार लगिङ गर्न अनुमति दिन्छ। निगरानीको यो स्तरले सुरक्षा नीतिहरूमा सम्झौता गर्न सक्छ र आक्रमणकारीलाई पत्ता लगाउन बिना कमजोरीहरूको शोषण गर्न अनुमति दिन्छ।
• विशेषाधिकारहरूको वृद्धि : आक्रमणकारीहरूले प्रायः प्रणालीमा आफ्ना विशेषाधिकारहरू बढाउन पछाडिको ढोका प्रयोग गर्छन्, तिनीहरूलाई पूर्ण प्रशासनिक नियन्त्रण दिन्छ। यसले तिनीहरूलाई सुरक्षा प्रोटोकलहरू बाइपास गर्न अनुमति दिन्छ, यसले वैध प्रयोगकर्ताहरू वा सुरक्षा टोलीहरूलाई नियन्त्रण पुन: प्राप्त गर्न लगभग असम्भव बनाउँछ।

सारांशमा, ब्याकडोर मालवेयर एक गम्भीर खतरा हो किनभने यसले आक्रमणकारीहरूलाई दीर्घकालीन, प्रणालीहरूमा लुकेको पहुँच प्रदान गर्दछ, उनीहरूलाई डाटा चोरी गर्न, मालवेयर फैलाउन, अपरेसनहरू हेरफेर गर्न, र सम्पूर्ण नेटवर्कहरू सम्झौता गर्न सक्षम बनाउँछ, सबै पत्ता लगाउन र उन्मूलन गर्न गाह्रो हुँदा।