KTLVdoor Бэкдор
Китайскоязычная группа угроз, известная как Earth Lusca, была обнаружена при использовании нового бэкдора под названием KTLVdoor в кибератаке против неназванной торговой компании в Китае. Эта недавно обнаруженная вредоносная программа, разработанная на Golang, предназначена для кроссплатформенной работы, нацеленной как на системы Microsoft Windows, так и на Linux.
KTLVdoor отличается сильной обфускацией и маскируется под различные системные утилиты. Это позволяет злоумышленникам выполнять ряд вредоносных действий, включая манипуляцию файлами, выполнение команд и удаленное сканирование портов.
Оглавление
Выдавая себя за законные инструменты
KTLVdoor маскируется под несколько инструментов, включая sshd, Java, SQLite, bash и edr-agent, среди прочих. Вредоносная программа распространяется либо как динамическая библиотека (.dll), либо как общий объект (.so).
Примечательным аспектом этой деятельности является идентификация более 50 серверов Command-and-Control (C&C), все из которых размещены китайской компанией Alibaba. Эти серверы были связаны с различными вариантами вредоносного ПО, что указывает на потенциальную возможность использования общей инфраструктуры с другими китайскими субъектами угроз.
Злоумышленники действуют уже несколько лет
Earth Lusca активна по крайней мере с 2021 года, проводя кибератаки, нацеленные как на государственные, так и на частные учреждения в Азии, Австралии, Европе и Северной Америке. Считается, что группа имеет некоторые тактические сходства с другими группами вторжений, известными как RedHotel и APT27 (также именуемыми Budworm, Emissary Panda и Iron Tiger).
Последняя вредоносная программа группы, KTLVdoor, сильно запутана. Свое название она получила от маркера с надписью «KTLV», который находится в ее конфигурационном файле и включает в себя различные параметры, необходимые для ее работы, например, серверы управления и контроля (C&C), к которым она подключается.
Многое еще неизвестно
После активации вредоносная программа многократно связывается с сервером Command-and-Control (C&C), ожидая дальнейших инструкций для выполнения на скомпрометированной системе. Она поддерживает различные команды, включая загрузку и выгрузку файлов, перечисление файловой системы, запуск интерактивной оболочки, выполнение шелл-кода и проведение сканирования с использованием таких инструментов, как ScanTCP, ScanRDP, DialTLS, ScanPing и ScanWeb, среди прочих.
Однако подробности о том, как распространяется вредоносное ПО и использовалось ли оно против других целей по всему миру, остаются неясными.
Хотя Earth Lusca использует этот новый инструмент, есть вероятность, что его также могут использовать другие китайскоязычные субъекты угроз. Тот факт, что все серверы C&C были размещены на IP-адресах от Alibaba, китайского провайдера, заставил исследователей предположить, что вредоносное ПО и его инфраструктура C&C могут быть частью ранней фазы тестирования новых инструментов.
Угрозы через бэкдор подвергают жертв серьезным последствиям
Вредоносное ПО бэкдора представляет серьезную опасность, поскольку оно предоставляет злоумышленникам несанкционированный, скрытый доступ к скомпрометированным системам, обходя обычные меры безопасности. Некоторые из наиболее серьезных угроз, связанных с вредоносным ПО бэкдора, включают:
- Постоянный контроль : бэкдоры позволяют злоумышленникам сохранять долгосрочный доступ к системе, часто необнаруживаемый. Этот постоянный доступ позволяет злоумышленникам постоянно контролировать и манипулировать системой с течением времени, что затрудняет устранение угрозы.
- Кража данных : злоумышленники могут собирать конфиденциальную информацию, такую как финансовые данные, интеллектуальную собственность, учетные данные для входа и конфиденциальные сообщения. Эти собранные данные могут быть проданы, использованы для мошенничества или привести к дальнейшим атакам, включая кражу личных данных или шпионаж.
- Эксплуатация сети : Попав внутрь, вредоносное ПО бэкдора может распространяться по сети, заражая другие устройства и расширяя область атаки. Это может привести к полной компрометации сети, позволяя злоумышленникам контролировать несколько систем одновременно.
- Доставка других вредоносных программ : бэкдоры могут использоваться в качестве механизма доставки дополнительных вредоносных программ, таких как программы-вымогатели, шпионские программы или кейлоггеры, которые могут нанести дополнительный ущерб и сбои.
- Манипуляции с системой и саботаж : злоумышленники могут выполнять команды на зараженной системе, изменять конфигурации, удалять или портить файлы, отключать инструменты безопасности и нарушать работу критически важных служб. В случае промышленных или государственных систем это может привести к серьезному повреждению операционной системы или инфраструктуры.
- Удаленный мониторинг и контроль : вредоносное ПО Backdoor позволяет злоумышленникам скрытно отслеживать действия, записывая нажатия клавиш, делая снимки экрана и регистрируя поведение пользователя. Этот уровень наблюдения может поставить под угрозу политики безопасности и позволить злоумышленнику использовать уязвимости без обнаружения.
- Эскалация привилегий : Злоумышленники часто используют бэкдоры для эскалации своих привилегий в системе, что дает им полный административный контроль. Это позволяет им обходить протоколы безопасности, делая практически невозможным для законных пользователей или групп безопасности восстановить контроль.
Подводя итог, можно сказать, что вредоносное ПО-бэкдор представляет собой серьезную угрозу, поскольку оно предоставляет злоумышленникам долгосрочный скрытый доступ к системам, что позволяет им красть данные, распространять вредоносное ПО, манипулировать операциями и взламывать целые сети, при этом его трудно обнаружить и искоренить.
