KTLV Door Backdoor
Grupi i kërcënimit që flet kinezisht i njohur si Earth Lusca është zbuluar duke vendosur një prapavijë të re të quajtur KTLVdoor në një sulm kibernetik kundër një kompanie tregtare të pazbuluar në Kinë. Ky malware i sapozbuluar, i zhvilluar në Golang, është projektuar për të qenë ndër-platformë, duke synuar të dy sistemet Microsoft Windows dhe Linux.
KTLVdoor përmban turbullim të rëndë dhe maskohet si shërbime të ndryshme të sistemit. Kjo i lejon sulmuesit të kryejnë një sërë aktivitetesh me qëllim të keq, duke përfshirë manipulimin e skedarëve, ekzekutimin e komandës dhe skanimin e portit në distancë.
Tabela e Përmbajtjes
Imitimi i mjeteve legjitime
KTLVdoor maskohet si disa mjete, duke përfshirë sshd, Java, SQLite, bash dhe edr-agent, ndër të tjera. Malware shpërndahet ose si një bibliotekë me lidhje dinamike (.dll) ose si një objekt i përbashkët (.so).
Një aspekt i dukshëm i këtij aktiviteti është identifikimi i mbi 50 serverëve Command-and-Control (C&C), të gjithë të organizuar nga kompania kineze Alibaba. Këta serverë janë lidhur me variante të ndryshme malware, duke sugjeruar potencialin për infrastrukturë të përbashkët me aktorë të tjerë të kërcënimit kinez.
Aktorët e kërcënimit kanë qenë aktivë për disa vite
Toka Lusca ka qenë aktive që të paktën që nga viti 2021, duke kryer sulme kibernetike që synojnë institucionet e sektorit publik dhe privat në të gjithë Azinë, Australinë, Evropën dhe Amerikën e Veriut. Grupi besohet të ketë disa ngjashmëri taktike me grupe të tjera të ndërhyrjes të njohura si RedHotel dhe APT27 (të referuara gjithashtu si Budworm, Emissary Panda dhe Iron Tiger).
Malware-i më i fundit i grupit, KTLVdoor, është shumë i turbullt. Ai e merr emrin e tij nga një shënues i emërtuar "KTLV" i gjetur në skedarin e tij të konfigurimit, i cili përfshin parametra të ndryshëm të nevojshëm për operacionet e tij, të tilla si serverët Command-and-Control (C&C) me të cilët lidhet.
Mbeten ende shumë të panjohura
Pasi të aktivizohet, malware kontakton vazhdimisht me serverin Command-and-Control (C&C), duke pritur për udhëzime të mëtejshme për t'u ekzekutuar në sistemin e komprometuar. Ai mbështet komanda të ndryshme, duke përfshirë shkarkimin dhe ngarkimin e skedarëve, numërimin e sistemit të skedarëve, lëshimin e një predhe interaktive, ekzekutimin e kodit të shell-it dhe kryerjen e skanimeve duke përdorur mjete si ScanTCP, ScanRDP, DialTLS, ScanPing dhe ScanWeb, ndër të tjera.
Megjithatë, detajet se si shpërndahet malware dhe nëse është përdorur kundër objektivave të tjerë në mbarë botën mbeten të paqarta.
Ndërsa Earth Lusca përdor këtë mjet të ri, ekziston mundësia që ai të përdoret edhe nga aktorë të tjerë të kërcënimit që flasin kinezisht. Fakti që të gjithë serverët C&C ishin pritur në adresat IP nga Alibaba, një ofrues kinez, i ka shtyrë studiuesit të spekulojnë se malware dhe infrastruktura e tij C&C mund të jenë pjesë e një faze të hershme testimi për mjete të reja.
Kërcënimet e pasme i ekspozojnë viktimat ndaj pasojave të rënda
Malware-i Backdoor paraqet rreziqe serioze sepse u siguron sulmuesve akses të paautorizuar dhe të fshehtë në sistemet e komprometuara, duke anashkaluar masat normale të sigurisë. Disa nga kërcënimet më të rëndësishme që lidhen me malware të pasme përfshijnë:
- Kontrolli i vazhdueshëm : Dyert e pasme lejojnë sulmuesit të mbajnë akses afatgjatë në një sistem, shpesh të pazbuluar. Kjo qasje e vazhdueshme u mundëson sulmuesve të monitorojnë dhe manipulojnë vazhdimisht sistemin me kalimin e kohës, duke e bërë të vështirë heqjen e kërcënimit.
- Vjedhja e të dhënave : Sulmuesit mund të mbledhin informacione të ndjeshme siç janë të dhënat financiare, pronësia intelektuale, kredencialet e hyrjes dhe komunikimet konfidenciale. Këto të dhëna të mbledhura mund të shiten, të përdoren për mashtrim ose të çojnë në sulme të mëtejshme, duke përfshirë vjedhjen e identitetit ose spiunazhin.
- Shfrytëzimi i rrjetit : Pasi të jetë brenda, një malware i pasme mund të përhapet anash në një rrjet, duke infektuar pajisje të tjera dhe duke zgjeruar shtrirjen e sulmit. Kjo mund të çojë në kompromis të plotë të rrjetit, duke i lejuar sulmuesit të kontrollojnë sisteme të shumta në të njëjtën kohë.
- Dorëzimi i softuerëve të tjerë keqdashës : Backdoors mund të përdoren si një mekanizëm shpërndarjeje për malware shtesë, të tillë si ransomware, spyware ose keylogger, të cilët mund të shkaktojnë dëme dhe ndërprerje të mëtejshme.
- Manipulimi dhe sabotimi i sistemit : Sulmuesit mund të ekzekutojnë komanda në sistemin e infektuar, duke ndryshuar konfigurimet, duke fshirë ose korruptuar skedarë, duke çaktivizuar mjetet e sigurisë dhe duke ndërprerë shërbimet kritike. Në rastet e sistemeve industriale ose qeveritare, kjo mund të çojë në dëmtime të rënda operacionale ose të infrastrukturës.
- Monitorimi dhe kontrolli nga distanca : Malware i prapambetur i lejon sulmuesit të monitorojnë në heshtje aktivitetet, të regjistrojnë goditjet e tasteve, të kapin pamje nga ekrani dhe të regjistrojnë sjelljen e përdoruesit. Ky nivel mbikëqyrjeje mund të komprometojë politikat e sigurisë dhe të lejojë sulmuesin të shfrytëzojë dobësitë pa u zbuluar.
- Përshkallëzimi i privilegjeve : Sulmuesit shpesh përdorin dyer të pasme për të përshkallëzuar privilegjet e tyre në një sistem, duke u dhënë atyre kontroll të plotë administrativ. Kjo u lejon atyre të anashkalojnë protokollet e sigurisë, duke e bërë pothuajse të pamundur që përdoruesit legjitimë ose ekipet e sigurisë të rimarrin kontrollin.
Në përmbledhje, një malware me dyer të pasme është një kërcënim serioz sepse u jep sulmuesve qasje afatgjatë dhe të fshehur në sisteme, duke u mundësuar atyre të vjedhin të dhëna, të përhapin malware, të manipulojnë operacione dhe të komprometojnë rrjete të tëra, të gjitha ndërkohë që mbeten të vështira për t'u zbuluar dhe zhdukur.
