KTLVdoor Achterdeur
De Chineestalige dreigingsgroep Earth Lusca is ontdekt bij het inzetten van een nieuwe backdoor genaamd KTLVdoor in een cyberaanval op een onbekend handelsbedrijf in China. Deze onlangs ontdekte malware, ontwikkeld in Golang, is ontworpen om cross-platform te zijn en richt zich op zowel Microsoft Windows- als Linux-systemen.
KTLVdoor is voorzien van zware verduistering en vermomt zichzelf als verschillende systeemhulpprogramma's. Hierdoor kunnen aanvallers een scala aan kwaadaardige activiteiten uitvoeren, waaronder bestandsmanipulatie, opdrachtuitvoering en externe poortscanning.
Inhoudsopgave
Het imiteren van legitieme tools
KTLVdoor vermomt zich als verschillende tools, waaronder sshd, Java, SQLite, bash en edr-agent, en andere. De malware wordt verspreid als een dynamic-link library (.dll) of een shared object (.so).
Een opvallend aspect van deze activiteit is de identificatie van meer dan 50 Command-and-Control (C&C) servers, allemaal gehost door het Chinese bedrijf Alibaba. Deze servers zijn gelinkt aan verschillende malwarevarianten, wat suggereert dat er potentieel is voor gedeelde infrastructuur met andere Chinese dreigingsactoren.
Dreigingsactoren zijn al enkele jaren actief
De Earth Lusca is sinds ten minste 2021 actief en voert cyberaanvallen uit op zowel publieke als private instellingen in Azië, Australië, Europa en Noord-Amerika. Er wordt aangenomen dat de groep enkele tactische overeenkomsten heeft met andere intrusiesets, bekend als RedHotel en APT27 (ook wel Budworm, Emissary Panda en Iron Tiger genoemd).
De nieuwste malware van de groep, KTLVdoor, is zeer verhuld. Het ontleent zijn naam aan een marker met het label 'KTLV' die te vinden is in het configuratiebestand, dat verschillende parameters bevat die nodig zijn voor de werking ervan, zoals de Command-and-Control (C&C) servers waarmee het verbinding maakt.
Er zijn nog veel onbekenden
Eenmaal geactiveerd, neemt de malware herhaaldelijk contact op met de Command-and-Control (C&C) server, wachtend op verdere instructies om uit te voeren op het gecompromitteerde systeem. Het ondersteunt verschillende commando's, waaronder het downloaden en uploaden van bestanden, het opsommen van het bestandssysteem, het starten van een interactieve shell, het uitvoeren van shellcode en het uitvoeren van scans met behulp van tools zoals ScanTCP, ScanRDP, DialTLS, ScanPing en ScanWeb, en andere.
Het is echter nog onduidelijk hoe de malware wordt verspreid en of deze ook tegen andere doelen wereldwijd is gebruikt.
Hoewel Earth Lusca deze nieuwe tool gebruikt, is er een mogelijkheid dat deze ook door andere Chinees sprekende bedreigingsactoren wordt gebruikt. Het feit dat alle C&C-servers werden gehost op IP-adressen van Alibaba, een Chinese provider, heeft onderzoekers doen speculeren dat de malware en de C&C-infrastructuur deel zouden kunnen uitmaken van een vroege testfase voor nieuwe tools.
Achterdeurbedreigingen stellen slachtoffers bloot aan ernstige gevolgen
Backdoor-malware vormt een groot gevaar omdat het aanvallers ongeoorloofde, geheime toegang biedt tot gecompromitteerde systemen, waarbij normale beveiligingsmaatregelen worden omzeild. Enkele van de belangrijkste bedreigingen die met backdoor-malware worden geassocieerd, zijn:
- Persistent Control : Backdoors stellen aanvallers in staat om langdurig toegang tot een systeem te behouden, vaak onopgemerkt. Deze persistente toegang stelt aanvallers in staat om het systeem continu te monitoren en te manipuleren, waardoor het moeilijk wordt om de bedreiging te verwijderen.
- Datadiefstal : Aanvallers kunnen gevoelige informatie verzamelen, zoals financiële gegevens, intellectueel eigendom, inloggegevens en vertrouwelijke communicatie. Deze verzamelde gegevens kunnen worden verkocht, gebruikt voor fraude of leiden tot verdere aanvallen, waaronder identiteitsdiefstal of spionage.
- Netwerkexploitatie : Eenmaal binnen kan een backdoor-malware zich lateraal over een netwerk verspreiden, andere apparaten infecteren en de reikwijdte van de aanval uitbreiden. Dit kan leiden tot volledige netwerkcompromissen, waardoor aanvallers meerdere systemen tegelijkertijd kunnen besturen.
- Levering van andere malware : Backdoors kunnen worden gebruikt als een distributiemechanisme voor extra malware, zoals ransomware, spyware of keyloggers, die verdere schade en verstoring kunnen veroorzaken.
- Systeemmanipulatie en sabotage : aanvallers kunnen opdrachten uitvoeren op het geïnfecteerde systeem, configuraties wijzigen, bestanden verwijderen of beschadigen, beveiligingstools uitschakelen en kritieke services verstoren. In het geval van industriële of overheidssystemen kan dit leiden tot ernstige operationele of infrastructuurschade.
- Remote Monitoring en Control : Backdoor-malware stelt aanvallers in staat om activiteiten stilletjes te monitoren, toetsaanslagen te registreren, screenshots te maken en gebruikersgedrag te loggen. Dit niveau van bewaking kan beveiligingsbeleid in gevaar brengen en de aanvaller in staat stellen om kwetsbaarheden te misbruiken zonder detectie.
- Escalatie van privileges : aanvallers gebruiken vaak backdoors om hun privileges op een systeem te escaleren, waardoor ze volledige administratieve controle krijgen. Hierdoor kunnen ze beveiligingsprotocollen omzeilen, waardoor het voor legitieme gebruikers of beveiligingsteams bijna onmogelijk wordt om de controle terug te krijgen.
Samengevat is backdoor-malware een ernstige bedreiging omdat het aanvallers langdurige, verborgen toegang tot systemen biedt. Hierdoor kunnen ze gegevens stelen, malware verspreiden, handelingen manipuleren en hele netwerken in gevaar brengen. Dit alles is echter moeilijk te detecteren en uit te roeien.
