KTLVdoor Tylne drzwi

Chińskojęzyczna grupa zagrożeń znana jako Earth Lusca została wykryta podczas wdrażania nowego backdoora o nazwie KTLVdoor w cyberataku na nieujawnioną firmę handlową w Chinach. To niedawno odkryte złośliwe oprogramowanie, opracowane w Golang, jest zaprojektowane tak, aby było wieloplatformowe i atakowało systemy Microsoft Windows i Linux.

KTLVdoor charakteryzuje się dużym zaciemnianiem i maskuje się pod różnymi narzędziami systemowymi. Umożliwia to atakującym wykonywanie szeregu złośliwych działań, w tym manipulację plikami, wykonywanie poleceń i zdalne skanowanie portów.

Podszywanie się pod legalne narzędzia

KTLVdoor podszywa się pod kilka narzędzi, w tym sshd, Java, SQLite, bash i edr-agent, między innymi. Złośliwe oprogramowanie jest dystrybuowane jako biblioteka DLL (.dll) lub obiekt współdzielony (.so).

Godnym uwagi aspektem tej aktywności jest identyfikacja ponad 50 serwerów Command-and-Control (C&C), wszystkie hostowane przez chińską firmę Alibaba. Serwery te zostały powiązane z różnymi wariantami złośliwego oprogramowania, co sugeruje potencjał wspólnej infrastruktury z innymi chińskimi aktorami zagrożeń.

Aktorzy zagrożeń działają od kilku lat

Earth Lusca działa od co najmniej 2021 r., przeprowadzając cyberataki na instytucje sektora publicznego i prywatnego w Azji, Australii, Europie i Ameryce Północnej. Uważa się, że grupa ma pewne podobieństwa taktyczne do innych zestawów intruzów znanych jako RedHotel i APT27 (nazywanych również Budworm, Emissary Panda i Iron Tiger).

Najnowsze złośliwe oprogramowanie tej grupy, KTLVdoor, jest bardzo zaciemnione. Nazwa pochodzi od znacznika oznaczonego jako „KTLV” znajdującego się w pliku konfiguracyjnym, który zawiera różne parametry niezbędne do jego działania, takie jak serwery Command-and-Control (C&C), z którymi się łączy.

Wiele niewiadomych wciąż pozostaje

Po aktywacji złośliwe oprogramowanie wielokrotnie kontaktuje się z serwerem Command-and-Control (C&C), czekając na dalsze instrukcje wykonania w zainfekowanym systemie. Obsługuje różne polecenia, w tym pobieranie i przesyłanie plików, wyliczanie systemu plików, uruchamianie interaktywnej powłoki, uruchamianie kodu powłoki i przeprowadzanie skanowania za pomocą narzędzi takich jak ScanTCP, ScanRDP, DialTLS, ScanPing i ScanWeb, między innymi.

Szczegóły dotyczące sposobu rozprzestrzeniania się złośliwego oprogramowania i tego, czy było ono wykorzystywane przeciwko innym celom na świecie, pozostają jednak niejasne.

Podczas gdy Earth Lusca wykorzystuje to nowe narzędzie, istnieje możliwość, że może być ono również używane przez innych chińskojęzycznych aktorów zagrożeń. Fakt, że wszystkie serwery C&C były hostowane na adresach IP od Alibaba, chińskiego dostawcy, skłonił badaczy do spekulacji, że złośliwe oprogramowanie i jego infrastruktura C&C mogą być częścią wczesnej fazy testowania nowych narzędzi.

Groźby typu backdoor narażają ofiary na poważne konsekwencje

Oprogramowanie typu backdoor stwarza poważne zagrożenia, ponieważ zapewnia atakującym nieautoryzowany, ukryty dostęp do zagrożonych systemów, omijając normalne środki bezpieczeństwa. Niektóre z najpoważniejszych zagrożeń związanych z oprogramowaniem typu backdoor obejmują:

• Persistent Control : Backdoory umożliwiają atakującym utrzymanie długoterminowego dostępu do systemu, często niewykrytego. Ten trwały dostęp umożliwia atakującym ciągłe monitorowanie i manipulowanie systemem w czasie, co utrudnia usunięcie zagrożenia.
• Kradzież danych : Atakujący mogą zbierać poufne informacje, takie jak dane finansowe, własność intelektualna, dane logowania i poufne komunikaty. Zebrane dane mogą zostać sprzedane, wykorzystane do oszustwa lub prowadzić do dalszych ataków, w tym kradzieży tożsamości lub szpiegostwa.
• Wykorzystywanie sieci : Po dostaniu się do środka złośliwe oprogramowanie typu backdoor może rozprzestrzeniać się bocznie w sieci, infekując inne urządzenia i rozszerzając zakres ataku. Może to doprowadzić do całkowitego naruszenia bezpieczeństwa sieci, umożliwiając atakującym jednoczesne kontrolowanie wielu systemów.
• Dostarczanie innego złośliwego oprogramowania : Tylne drzwi mogą być wykorzystywane jako mechanizm dostarczania dodatkowego złośliwego oprogramowania, takiego jak ransomware, spyware lub keyloggery, które mogą powodować dalsze szkody i zakłócenia.
• Manipulacja systemem i sabotaż : Atakujący mogą wykonywać polecenia w zainfekowanym systemie, zmieniając konfiguracje, usuwając lub uszkadzając pliki, wyłączając narzędzia bezpieczeństwa i zakłócając działanie krytycznych usług. W przypadku systemów przemysłowych lub rządowych może to prowadzić do poważnych uszkodzeń operacyjnych lub infrastrukturalnych.
• Zdalne monitorowanie i kontrola : złośliwe oprogramowanie typu backdoor umożliwia atakującym ciche monitorowanie aktywności, rejestrowanie uderzeń klawiszy, przechwytywanie zrzutów ekranu i rejestrowanie zachowań użytkowników. Ten poziom nadzoru może naruszyć zasady bezpieczeństwa i umożliwić atakującemu wykorzystanie luk bez wykrycia.
• Eskalacja uprawnień : atakujący często używają tylnych drzwi, aby eskalować swoje uprawnienia w systemie, co daje im pełną kontrolę administracyjną. Pozwala im to ominąć protokoły bezpieczeństwa, co sprawia, że odzyskanie kontroli przez prawowitych użytkowników lub zespoły ds. bezpieczeństwa jest niemal niemożliwe.

Podsumowując, złośliwe oprogramowanie typu backdoor stanowi poważne zagrożenie, ponieważ zapewnia atakującym długotrwały, ukryty dostęp do systemów, umożliwiając im kradzież danych, rozprzestrzenianie złośliwego oprogramowania, manipulowanie operacjami i naruszanie bezpieczeństwa całych sieci, a wszystko to przy jednoczesnym utrudnieniu jego wykrycia i wyeliminowania.