Multilicenčná zľavová ponuka
Databáza hrozieb Zadné vrátka KTLVdoor Backdoor

KTLVdoor Backdoor

Do roku Mezo v roku Zadné vrátka, Pokročilá perzistentná hrozba (APT), Malvér
Preložiť do:
Slovenčina

Čínsky hovoriaca skupina hrozieb, známa ako Earth Lusca, bola zistená pri nasadzovaní nových zadných dvierok s názvom KTLVdoor pri kybernetickom útoku proti nezverejnenej obchodnej spoločnosti v Číne. Tento novoobjavený malvér, vyvinutý v Golangu, je navrhnutý tak, aby bol multiplatformový a zameral sa na systémy Microsoft Windows aj Linux.

KTLVdoor sa vyznačuje silným zahmlievaním a maskuje sa ako rôzne systémové nástroje. To umožňuje útočníkom vykonávať celý rad škodlivých činností vrátane manipulácie so súbormi, vykonávania príkazov a vzdialeného skenovania portov.

Vydávanie sa za legitímne nástroje

KTLVdoor sa maskuje ako niekoľko nástrojov vrátane sshd, Java, SQLite, bash a edr-agent. Škodlivý softvér je distribuovaný buď ako dynamická knižnica (.dll) alebo ako zdieľaný objekt (.so).

Pozoruhodným aspektom tejto činnosti je identifikácia viac ako 50 serverov Command-and-Control (C&C), ktoré všetky prevádzkuje čínska spoločnosť Alibaba. Tieto servery boli prepojené s rôznymi variantmi malvéru, čo naznačuje potenciál pre zdieľanú infraštruktúru s inými čínskymi aktérmi hrozieb.

Aktéri hrozieb sú aktívni už niekoľko rokov

The Earth Lusca je aktívna minimálne od roku 2021 a vykonáva kybernetické útoky zamerané na inštitúcie verejného aj súkromného sektora v Ázii, Austrálii, Európe a Severnej Amerike. Predpokladá sa, že skupina má určité taktické podobnosti s inými súpravami narušiteľov známymi ako RedHotel a APT27 (tiež označované ako Budworm, Emissary Panda a Iron Tiger).

Najnovší malvér skupiny, KTLVdoor, je veľmi zahmlený. Svoj názov odvodzuje od značky označenej „KTLV“, ktorá sa nachádza v jeho konfiguračnom súbore, ktorý obsahuje rôzne parametre potrebné na jeho prevádzku, ako sú napríklad servery Command-and-Control (C&C), ku ktorým sa pripája.

Stále zostáva veľa neznámych

Po aktivácii malvér opakovane kontaktuje server Command-and-Control (C&C) a čaká na vykonanie ďalších pokynov na napadnutom systéme. Podporuje rôzne príkazy, vrátane sťahovania a nahrávania súborov, enumerácie súborového systému, spúšťania interaktívneho shellu, spúšťania shell kódu a vykonávania skenovania pomocou nástrojov ako ScanTCP, ScanRDP, DialTLS, ScanPing a ScanWeb, medzi inými.

Podrobnosti o tom, ako je malvér distribuovaný a či bol použitý proti iným cieľom na celom svete, však zostávajú nejasné.

Zatiaľ čo Earth Lusca používa tento nový nástroj, existuje možnosť, že ho môžu použiť aj iní čínski aktéri hrozieb. Skutočnosť, že všetky servery C&C boli hosťované na IP adresách od čínskeho poskytovateľa Alibaba, viedla výskumníkov k špekuláciám, že malvér a jeho infraštruktúra C&C by mohli byť súčasťou počiatočnej fázy testovania nových nástrojov.

Backdoor Threats vystavuje obete vážnym následkom

Backdoor malvér predstavuje vážne nebezpečenstvo, pretože útočníkom poskytuje neoprávnený, skrytý prístup k ohrozeným systémom a obchádza bežné bezpečnostné opatrenia. Niektoré z najvýznamnejších hrozieb spojených s malvérom typu backdoor zahŕňajú:

  • Trvalá kontrola : Zadné vrátka umožňujú útočníkom udržiavať dlhodobý prístup k systému, často nezistený. Tento trvalý prístup umožňuje útočníkom priebežne monitorovať systém a manipulovať s ním v priebehu času, čo sťažuje odstránenie hrozby.
  • Krádež údajov : Útočníci môžu získať citlivé informácie, ako sú finančné údaje, duševné vlastníctvo, prihlasovacie údaje a dôverná komunikácia. Tieto zozbierané údaje možno predať, použiť na podvody alebo viesť k ďalším útokom vrátane krádeže identity alebo špionáže.
  • Zneužívanie siete : Keď sa backdoor malvér dostane dovnútra, môže sa šíriť laterálne cez sieť, infikovať ďalšie zariadenia a rozširovať rozsah útoku. To môže viesť k úplnému ohrozeniu siete, čo útočníkom umožní ovládať viacero systémov súčasne.
  • Doručenie iného malvéru : Backdoors možno použiť ako mechanizmus doručovania pre ďalší malvér, ako je ransomvér, spyware alebo keyloggery, ktoré môžu spôsobiť ďalšie škody a narušenie.
  • Manipulácia so systémom a sabotáž : Útočníci môžu vykonávať príkazy na infikovanom systéme, meniť konfigurácie, mazať alebo poškodzovať súbory, deaktivovať bezpečnostné nástroje a narušiť dôležité služby. V prípade priemyselných alebo vládnych systémov by to mohlo viesť k vážnemu poškodeniu prevádzky alebo infraštruktúry.
  • Vzdialené monitorovanie a kontrola : Backdoor malvér umožňuje útočníkom ticho monitorovať aktivity, zaznamenávať stlačenia klávesov, zachytávať snímky obrazovky a zaznamenávať správanie používateľov. Táto úroveň dohľadu môže ohroziť bezpečnostnú politiku a umožniť útočníkovi zneužiť zraniteľné miesta bez toho, aby ich odhalil.
  • Eskalácia privilégií : Útočníci často používajú zadné vrátka na eskaláciu svojich privilégií v systéme, čo im dáva plnú administratívnu kontrolu. To im umožňuje obísť bezpečnostné protokoly, čím je takmer nemožné pre legitímnych používateľov alebo bezpečnostné tímy znovu získať kontrolu.
  • Zložitá detekcia a odstránenie : Backdoor malvér je často navrhnutý tak, aby bol veľmi zahmlený a tajný, čo sťažuje jeho detekciu pomocou tradičných antivírusových alebo bezpečnostných nástrojov. Môže tiež deaktivovať alebo obísť detekčné nástroje, čo umožní, aby hrozba zostala v systéme nezistená po dlhú dobu.

    • Stručne povedané, malvér typu backdoor je vážnou hrozbou, pretože poskytuje útočníkom dlhodobý skrytý prístup k systémom, čo im umožňuje kradnúť údaje, šíriť malvér, manipulovať s operáciami a kompromitovať celé siete, pričom je ťažké ich odhaliť a odstrániť.

    Trendy

    Najviac videné

    Vyskakovacie okná „Ak máte 18 rokov, klepnite na...

    Falošné varovné správy
    29,598
    Vyskakovacie okná „Ak máte 18 rokov“ sú typom kontextových reklám, ktoré sa zobrazujú na obrazovke používateľa pri prehliadaní internetu. Tieto kontextové okná môžu byť pre používateľov dosť alarmujúce, pretože ich vyzývajú, aby klikli na tlačidlo „povoliť“, aby mohli pokračovať v používaní webovej stránky, na ktorej sa práve nachádzajú. Tieto kontextové okná sú spojené s takými nežiaducimi...
    Načítava...