Rabattoffert för flera licenser
Hotdatabas Bakdörrar KTLVdoor Bakdörr

KTLVdoor Bakdörr

Med Mezo år Bakdörrar, Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:
Svenska

Den kinesisktalande hotgruppen känd som Earth Lusca har upptäckts använda en ny bakdörr som heter KTLVdoor i en cyberattack mot ett hemligt handelsföretag i Kina. Denna nyupptäckta skadliga programvara, utvecklad i Golang, är designad för att vara plattformsoberoende och riktar sig till både Microsoft Windows- och Linux-system.

KTLVdoor har kraftig förvirring och klär sig som olika systemverktyg. Detta gör att angripare kan utföra en rad skadliga aktiviteter, inklusive filmanipulation, kommandoexekvering och fjärravläsning av portar.

Utger sig att vara legitima verktyg

KTLVdoor maskerar sig som flera verktyg, inklusive sshd, Java, SQLite, bash och edr-agent, bland andra. Skadlig programvara distribueras antingen som ett dynamiskt länkbibliotek (.dll) eller ett delat objekt (.so).

En anmärkningsvärd aspekt av denna aktivitet är identifieringen av över 50 Command-and-Control (C&C)-servrar, alla värdda av det kinesiska företaget Alibaba. Dessa servrar har kopplats till olika varianter av skadlig programvara, vilket tyder på potentialen för delad infrastruktur med andra kinesiska hotaktörer.

Hotskådespelare har varit aktiva i flera år

Earth Lusca har varit aktiv sedan åtminstone 2021 och genomfört cyberattacker riktade mot både offentliga och privata institutioner i Asien, Australien, Europa och Nordamerika. Gruppen tros ha vissa taktiska likheter med andra intrångsuppsättningar kända som RedHotel och APT27 (även kallad Budworm, Emissary Panda och Iron Tiger).

Gruppens senaste skadliga program, KTLVdoor, är mycket förvirrad. Den härleder sitt namn från en markör märkt 'KTLV' som finns i dess konfigurationsfil, som innehåller olika parametrar som är nödvändiga för dess operationer, såsom Command-and-Control (C&C)-servrar den ansluter till.

En hel del okända finns fortfarande kvar

När den har aktiverats kontaktar den skadliga programvaran upprepade gånger Command-and-Control-servern (C&C) och väntar på att ytterligare instruktioner ska köras på det komprometterade systemet. Den stöder olika kommandon, inklusive att ladda ner och ladda upp filer, räkna upp filsystemet, starta ett interaktivt skal, köra skalkod och utföra skanningar med hjälp av verktyg som ScanTCP, ScanRDP, DialTLS, ScanPing och ScanWeb, bland andra.

Men detaljer om hur skadlig programvara distribueras och om den har använts mot andra mål över hela världen är fortfarande oklart.

Medan Earth Lusca använder detta nya verktyg, finns det en möjlighet att det också kan användas av andra kinesisktalande hotaktörer. Det faktum att alla C&C-servrar var värd för IP-adresser från Alibaba, en kinesisk leverantör, har fått forskare att spekulera i att skadlig programvara och dess C&C-infrastruktur kan vara en del av en tidig testfas för nya verktyg.

Bakdörrshot utsätter offer för allvarliga konsekvenser

Bakdörr skadlig programvara utgör allvarliga faror eftersom den ger angripare obehörig, hemlig åtkomst till komprometterade system, utan att normala säkerhetsåtgärder kringgås. Några av de mest betydande hoten som är förknippade med bakdörr skadlig kod inkluderar:

  • Beständig kontroll : Bakdörrar tillåter angripare att behålla långtidsåtkomst till ett system, ofta oupptäckt. Denna ihållande åtkomst gör det möjligt för angripare att kontinuerligt övervaka och manipulera systemet över tid, vilket gör det svårt att ta bort hotet.
  • Datastöld : Angripare kan samla in känslig information som finansiell data, immateriell egendom, inloggningsuppgifter och konfidentiell kommunikation. Denna insamlade data kan säljas, användas för bedrägeri eller leda till ytterligare attacker, inklusive identitetsstöld eller spionage.
  • Nätverksutnyttjande : Väl inne kan en bakdörr skadlig kod spridas i sidled över ett nätverk, infektera andra enheter och utöka attackens omfattning. Detta kan leda till fullständig nätverkskompromiss, vilket gör att angripare kan kontrollera flera system samtidigt.
  • Leverans av annan skadlig programvara : Bakdörrar kan användas som en leveransmekanism för ytterligare skadlig programvara, såsom ransomware, spionprogram eller keyloggers, som kan orsaka ytterligare skada och avbrott.
  • Systemmanipulation och sabotage : Angripare kan utföra kommandon på det infekterade systemet, ändra konfigurationer, ta bort eller korrumpera filer, inaktivera säkerhetsverktyg och störa viktiga tjänster. I fall av industriella eller statliga system kan detta leda till allvarliga drifts- eller infrastrukturskador.
  • Fjärrövervakning och kontroll : Bakdörr skadlig programvara tillåter angripare att tyst övervaka aktiviteter, spela in tangenttryckningar, ta skärmdumpar och logga användarbeteende. Denna nivå av övervakning kan äventyra säkerhetspolicyer och tillåta angriparen att utnyttja sårbarheter utan upptäckt.
  • Eskalering av privilegier : Angripare använder ofta bakdörrar för att eskalera sina privilegier på ett system, vilket ger dem full administrativ kontroll. Detta tillåter dem att kringgå säkerhetsprotokoll, vilket gör det nästan omöjligt för legitima användare eller säkerhetsteam att återta kontrollen.
  • Svår att upptäcka och ta bort : Skadlig programvara bakdörr är ofta utformad för att vara mycket förvirrad och smygande, vilket gör det svårt att upptäcka med traditionella antivirus- eller säkerhetsverktyg. Det kan också inaktivera eller undvika upptäcktsverktyg, vilket gör att hotet kan förbli i systemet oupptäckt under långa perioder.

    • Sammanfattningsvis är en bakdörr skadlig kod ett allvarligt hot eftersom den ger angripare långvarig, dold åtkomst till system, vilket gör det möjligt för dem att stjäla data, sprida skadlig programvara, manipulera operationer och äventyra hela nätverk, allt samtidigt som det är svårt att upptäcka och utrota.

    Trendigt

    Mest sedda

    Läser in...