Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate Ușă din spate KTLV

Ușă din spate KTLV

Până în Mezo în Ușile din spate, Amenințare persistentă avansată (APT), Programe malware
Tradu in:
Română

Grupul de amenințări vorbitor de limbă chineză, cunoscut sub numele de Earth Lusca, a fost detectat că desfășoară o nouă ușă din spate numită KTLVdoor într-un atac cibernetic împotriva unei companii comerciale nedezvăluite din China. Acest malware nou descoperit, dezvoltat în Golang, este conceput pentru a fi multiplatformă, vizând atât sistemele Microsoft Windows, cât și Linux.

KTLVdoor are o ofuscare puternică și se deghizează în diverse utilități de sistem. Acest lucru permite atacatorilor să efectueze o serie de activități rău intenționate, inclusiv manipularea fișierelor, executarea comenzilor și scanarea portului de la distanță.

Uzurparea identității instrumentelor legitime

KTLVdoor se preface ca mai multe instrumente, inclusiv sshd, Java, SQLite, bash și edr-agent, printre altele. Malware-ul este distribuit fie ca bibliotecă cu linkuri dinamice (.dll), fie ca obiect partajat (.so).

Un aspect notabil al acestei activități este identificarea a peste 50 de servere Command-and-Control (C&C), toate găzduite de compania chineză Alibaba. Aceste servere au fost legate de diferite variante de malware, sugerând potențialul de partajare a infrastructurii cu alți actori de amenințări chinezi.

Actorii de amenințări sunt activi de câțiva ani

Earth Lusca este activ din cel puțin 2021, desfășurând atacuri cibernetice care vizează atât instituțiile din sectorul public, cât și cele private din Asia, Australia, Europa și America de Nord. Se crede că grupul are unele asemănări tactice cu alte seturi de intruziune cunoscute sub numele de RedHotel și APT27 (numite și Budworm, Emissary Panda și Iron Tiger).

Cel mai recent malware al grupului, KTLVdoor, este foarte obscurcat. Numele își derivă de la un marker etichetat „KTLV” găsit în fișierul său de configurare, care include diverși parametri necesari pentru operațiunile sale, cum ar fi serverele de comandă și control (C&C) la care se conectează.

O mulțime de necunoscute încă mai rămân

Odată activat, malware-ul contactează în mod repetat serverul Command-and-Control (C&C), așteptând să se execute instrucțiuni suplimentare pe sistemul compromis. Acceptă diverse comenzi, inclusiv descărcarea și încărcarea fișierelor, enumerarea sistemului de fișiere, lansarea unui shell interactiv, rularea shellcode și efectuarea de scanări folosind instrumente precum ScanTCP, ScanRDP, DialTLS, ScanPing și ScanWeb, printre altele.

Cu toate acestea, detaliile despre modul în care este distribuit malware-ul și dacă a fost utilizat împotriva altor ținte din întreaga lume rămân neclare.

În timp ce Earth Lusca folosește acest nou instrument, există posibilitatea ca acesta să fie folosit și de alți actori de amenințare vorbitori de chineză. Faptul că toate serverele C&C au fost găzduite pe adrese IP de la Alibaba, un furnizor chinez, i-a determinat pe cercetători să speculeze că malware-ul și infrastructura sa C&C ar putea face parte dintr-o fază timpurie de testare pentru noi instrumente.

Amenințările din spate expun victimele la consecințe grave

Programele malware backdoor prezintă pericole serioase, deoarece oferă atacatorilor acces neautorizat, ascuns, la sistemele compromise, ocolind măsurile de securitate normale. Unele dintre cele mai semnificative amenințări asociate malware-ului backdoor includ:

  • Control persistent : ușile din spate permit atacatorilor să mențină acces pe termen lung la un sistem, adesea nedetectați. Acest acces persistent permite atacatorilor să monitorizeze și să manipuleze continuu sistemul în timp, ceea ce face dificilă eliminarea amenințării.
  • Furtul de date : Atacatorii pot colecta informații sensibile, cum ar fi date financiare, proprietate intelectuală, acreditări de conectare și comunicări confidențiale. Aceste date culese pot fi vândute, utilizate pentru fraudă sau pot duce la alte atacuri, inclusiv furtul de identitate sau spionajul.
  • Exploatarea rețelei : Odată înăuntru, un malware backdoor se poate răspândi lateral într-o rețea, infectând alte dispozitive și extinzând sfera atacului. Acest lucru poate duce la compromisuri complete ale rețelei, permițând atacatorilor să controleze mai multe sisteme simultan.
  • Livrarea altor programe malware : ușile din spate pot fi folosite ca mecanism de livrare pentru programe malware suplimentare, cum ar fi ransomware, spyware sau keylogger, care pot cauza daune și întreruperi suplimentare.
  • Manipularea sistemului și sabotajul : Atacatorii pot executa comenzi pe sistemul infectat, modificând configurațiile, ștergând sau corupând fișiere, dezactivând instrumentele de securitate și întrerupând serviciile critice. În cazul sistemelor industriale sau guvernamentale, acest lucru ar putea duce la daune operaționale sau de infrastructură grave.
  • Monitorizare și control de la distanță : malware-ul Backdoor permite atacatorilor să monitorizeze în tăcere activitățile, să înregistreze apăsările de la taste, să capteze capturi de ecran și să înregistreze comportamentul utilizatorilor. Acest nivel de supraveghere poate compromite politicile de securitate și permite atacatorului să exploateze vulnerabilități fără detectare.
  • Escaladarea privilegiilor : Atacatorii folosesc adesea ușile din spate pentru a-și escalada privilegiile asupra unui sistem, oferindu-le control administrativ deplin. Acest lucru le permite să ocolească protocoalele de securitate, făcând aproape imposibil ca utilizatorii legitimi sau echipele de securitate să-și recapete controlul.
  • Detectare și eliminare dificilă : malware-ul Backdoor este adesea proiectat pentru a fi foarte obscur și ascuns, ceea ce face dificilă detectarea cu instrumentele tradiționale antivirus sau de securitate. De asemenea, poate dezactiva sau evita instrumentele de detectare, permițând amenințării să rămână în sistem nedetectată pentru perioade lungi de timp.

    • Pe scurt, un malware backdoor este o amenințare serioasă, deoarece oferă atacatorilor acces ascuns pe termen lung la sisteme, permițându-le să fure date, să răspândească malware, să manipuleze operațiuni și să compromită rețele întregi, toate rămânând dificil de detectat și de eradicat.

    Trending

    Cele mai văzute

    Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

    Mesaje de avertizare false
    29,598
    Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
    Se încarcă...