Popust za več licenc
Podjetje o grožnjah Zadnja vrata KTLVdoor Zadnja vrata

KTLVdoor Zadnja vrata

Do leta Mezo leta Zadnja vrata, Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:
Slovenščina

Kitajsko govoreča skupina groženj, znana kot Earth Lusca, je bila odkrita, da uporablja nova stranska vrata, imenovana KTLVdoor, v kibernetskem napadu na nerazkrito trgovsko podjetje na Kitajskem. Ta na novo odkrita zlonamerna programska oprema, razvita v Golangu, je zasnovana tako, da deluje na različnih platformah in cilja na sisteme Microsoft Windows in Linux.

KTLVdoor je močno zakrit in se preobleče v različne sistemske pripomočke. To napadalcem omogoča izvajanje vrste zlonamernih dejavnosti, vključno z manipulacijo datotek, izvajanjem ukazov in skeniranjem oddaljenih vrat.

Lažno predstavljanje za zakonita orodja

KTLVdoor se predstavlja kot več orodij, vključno s sshd, Java, SQLite, bash in edr-agent, med drugim. Zlonamerna programska oprema se distribuira bodisi kot dinamično povezovalna knjižnica (.dll) bodisi kot objekt v skupni rabi (.so).

Pomemben vidik te dejavnosti je identifikacija več kot 50 strežnikov za vodenje in nadzor (C&C), ki jih vse gosti kitajsko podjetje Alibaba. Ti strežniki so bili povezani z različnimi različicami zlonamerne programske opreme, kar kaže na možnost skupne infrastrukture z drugimi kitajskimi akterji groženj.

Akterji groženj so aktivni že nekaj let

Earth Lusca je aktivna vsaj od leta 2021 in izvaja kibernetske napade, usmerjene v institucije javnega in zasebnega sektorja v Aziji, Avstraliji, Evropi in Severni Ameriki. Skupina naj bi imela nekaj taktičnih podobnosti z drugimi vdornimi kompleti, znani kot RedHotel in APT27 (imenovani tudi Budworm, Emissary Panda in Iron Tiger).

Najnovejša zlonamerna programska oprema skupine, KTLVdoor, je zelo zakrita. Ime je dobil po označevalcu z oznako "KTLV", ki ga najdemo v njegovi konfiguracijski datoteki, ki vključuje različne parametre, potrebne za njegovo delovanje, kot so strežniki za ukazovanje in nadzor (C&C), s katerimi se povezuje.

Veliko neznank je še vedno

Ko je zlonamerna programska oprema aktivirana, se vedno znova poveže s strežnikom za ukazovanje in nadzor (C&C) in čaka na nadaljnja navodila za izvedbo v ogroženem sistemu. Podpira različne ukaze, vključno s prenosom in nalaganjem datotek, naštevanjem datotečnega sistema, zagonom interaktivne lupine, izvajanjem ukazne kode in izvajanjem skeniranja z orodji, kot so ScanTCP, ScanRDP, DialTLS, ScanPing in ScanWeb, med drugim.

Vendar podrobnosti o tem, kako se zlonamerna programska oprema distribuira in ali je bila uporabljena proti drugim tarčam po vsem svetu, ostajajo nejasne.

Čeprav Earth Lusca uporablja to novo orodje, obstaja možnost, da ga uporabljajo tudi drugi kitajsko govoreči akterji groženj. Dejstvo, da so vsi strežniki C&C gostovali na naslovih IP Alibabe, kitajskega ponudnika, je vodilo raziskovalce do špekulacij, da bi lahko bila zlonamerna programska oprema in njena infrastruktura C&C del zgodnje faze testiranja novih orodij.

Grožnje iz zakulisja izpostavijo žrtve hudim posledicam

Zlonamerna programska oprema za zadnja vrata predstavlja resno nevarnost, ker napadalcem omogoča nepooblaščen, prikrit dostop do ogroženih sistemov, mimo običajnih varnostnih ukrepov. Nekatere najpomembnejše grožnje, povezane z zakulisno zlonamerno programsko opremo, vključujejo:

  • Trajni nadzor : Zadnja vrata napadalcem omogočajo dolgoročen dostop do sistema, pogosto neodkrit. Ta vztrajni dostop omogoča napadalcem, da nenehno spremljajo in manipulirajo s sistemom skozi čas, zaradi česar je težko odstraniti grožnjo.
  • Kraja podatkov : Napadalci lahko pridobijo občutljive informacije, kot so finančni podatki, intelektualna lastnina, poverilnice za prijavo in zaupna komunikacija. Te zbrane podatke je mogoče prodati, uporabiti za goljufije ali povzročiti nadaljnje napade, vključno s krajo identitete ali vohunjenjem.
  • Izkoriščanje omrežja : ko je zlonamerna programska oprema za zakulisna vrata notri, se lahko bočno širi po omrežju, okuži druge naprave in razširi obseg napada. To lahko povzroči popolno ogrožanje omrežja, kar napadalcem omogoči nadzor več sistemov hkrati.
  • Dostava druge zlonamerne programske opreme : Backdoors se lahko uporabljajo kot mehanizem za dostavo dodatne zlonamerne programske opreme, kot je izsiljevalska programska oprema, vohunska programska oprema ali zapisovalniki tipk, ki lahko povzročijo nadaljnjo škodo in motnje.
  • Sistemska manipulacija in sabotaža : Napadalci lahko izvajajo ukaze v okuženem sistemu, spreminjajo konfiguracije, izbrišejo ali poškodujejo datoteke, onemogočijo varnostna orodja in prekinejo kritične storitve. V primerih industrijskih ali vladnih sistemov bi to lahko povzročilo resno škodo pri delovanju ali infrastrukturi.
  • Oddaljeno spremljanje in nadzor : zlonamerna programska oprema za zakulisna vrata omogoča napadalcem tiho spremljanje dejavnosti, snemanje pritiskov tipk, zajemanje posnetkov zaslona in beleženje vedenja uporabnikov. Ta raven nadzora lahko ogrozi varnostne politike in napadalcu omogoči izkoriščanje ranljivosti brez odkritja.
  • Stopnjevanje privilegijev : Napadalci pogosto uporabljajo stranska vrata, da povečajo svoje privilegije v sistemu, kar jim daje popoln upravni nadzor. To jim omogoča, da obidejo varnostne protokole, zaradi česar zakoniti uporabniki ali varnostne ekipe skoraj nemogoče ponovno pridobijo nadzor.
  • Težavno odkrivanje in odstranjevanje : zlonamerna programska oprema za stranska vrata je pogosto zasnovana tako, da je zelo zakrita in prikrita, zaradi česar jo je težko odkriti s tradicionalnimi protivirusnimi ali varnostnimi orodji. Prav tako lahko onemogoči ali se izogne orodjem za odkrivanje, kar omogoči, da grožnja dolgo ostane v sistemu neodkrita.

    • Če povzamemo, zlonamerna programska oprema za zakulisna vrata je resna grožnja, ker napadalcem omogoča dolgoročen, skriti dostop do sistemov, kar jim omogoča krajo podatkov, širjenje zlonamerne programske opreme, manipulacijo operacij in ogrožanje celotnih omrežij, pri čemer jih je težko odkriti in izkoreniniti.

    V trendu

    Najbolj gledan

    E-poštna prevara 'Geek Squad'

    Lažno predstavljanje, Neželena pošta
    37,897
    Geek Squad, priljubljeni ponudnik tehnične podpore, je postal žrtev lažnega predstavljanja, imenovane Geek Squad Email Scam. Ta prevara tehnične podpore uporablja lažna e-poštna sporočila, ki ljudi zavedejo, da izdajo svoje osebne podatke, kot so podatki o kreditni kartici, e-poštni naslovi in celo številke socialnega zavarovanja. V tem članku bomo razpravljali o sami prevari, kako izgleda, od...
    Nalaganje...