KTLVdoor பின்கதவு

எர்த் லுஸ்கா என அழைக்கப்படும் சீன மொழி பேசும் அச்சுறுத்தல் குழு, சீனாவில் உள்ள ஒரு வெளியிடப்படாத வர்த்தக நிறுவனத்திற்கு எதிராக சைபர் தாக்குதலில் KTLVdoor எனப்படும் புதிய பின்கதவை பயன்படுத்தியது கண்டறியப்பட்டுள்ளது. கோலாங்கில் உருவாக்கப்பட்ட இந்த புதிய மால்வேர் மைக்ரோசாஃப்ட் விண்டோஸ் மற்றும் லினக்ஸ் சிஸ்டம் இரண்டையும் குறிவைத்து குறுக்கு-தளமாக வடிவமைக்கப்பட்டுள்ளது.

KTLVdoor கடுமையான தெளிவைக் கொண்டுள்ளது மற்றும் பல்வேறு கணினி பயன்பாடுகளாக மாறுவேடமிடுகிறது. கோப்பு கையாளுதல், கட்டளை செயல்படுத்துதல் மற்றும் ரிமோட் போர்ட் ஸ்கேனிங் உள்ளிட்ட தீங்கிழைக்கும் செயல்களை தாக்குபவர்களை இது அனுமதிக்கிறது.

ஆள்மாறாட்டம் செய்யும் முறையான கருவிகள்

KTLVdoor, sshd, Java, SQLite, bash மற்றும் edr-agent போன்ற பல கருவிகளாக மாறுகிறது. தீம்பொருள் டைனமிக்-லிங்க் லைப்ரரி (.dll) அல்லது பகிரப்பட்ட பொருளாக (.so) விநியோகிக்கப்படுகிறது.

இந்தச் செயல்பாட்டின் குறிப்பிடத்தக்க அம்சம் 50 க்கும் மேற்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C&C) சேவையகங்களை அடையாளம் காண்பது ஆகும், இவை அனைத்தும் சீன நிறுவனமான அலிபாபாவால் வழங்கப்படுகின்றன. இந்த சேவையகங்கள் பல்வேறு மால்வேர் வகைகளுடன் இணைக்கப்பட்டுள்ளன, இது மற்ற சீன அச்சுறுத்தல் நடிகர்களுடன் பகிரப்பட்ட உள்கட்டமைப்புக்கான சாத்தியத்தை பரிந்துரைக்கிறது.

அச்சுறுத்தல் நடிகர்கள் பல ஆண்டுகளாக செயலில் உள்ளனர்

ஆசியா, ஆஸ்திரேலியா, ஐரோப்பா மற்றும் வட அமெரிக்கா முழுவதும் உள்ள பொது மற்றும் தனியார் துறை நிறுவனங்களை குறிவைத்து சைபர் தாக்குதல்களை நடத்தும் எர்த் லுஸ்கா குறைந்தது 2021 முதல் செயல்பட்டு வருகிறது. RedHotel மற்றும் APT27 (Budworm, Emissary Panda மற்றும் Iron Tiger என்றும் குறிப்பிடப்படுகிறது) என அறியப்படும் பிற ஊடுருவல் தொகுப்புகளுடன் குழு சில தந்திரோபாய ஒற்றுமைகள் இருப்பதாக நம்பப்படுகிறது.

குழுவின் சமீபத்திய தீம்பொருள், KTLVdoor, மிகவும் தெளிவற்றது. அதன் உள்ளமைவு கோப்பில் காணப்படும் 'KTLV' என பெயரிடப்பட்ட மார்க்கரில் இருந்து அதன் பெயரைப் பெறுகிறது, இது இணைக்கும் கட்டளை மற்றும் கட்டுப்பாடு (C&C) சேவையகங்கள் போன்ற அதன் செயல்பாடுகளுக்குத் தேவையான பல்வேறு அளவுருக்களை உள்ளடக்கியது.

தெரியாதவை இன்னும் நிறைய உள்ளன

செயல்படுத்தப்பட்டதும், தீம்பொருள் மீண்டும் மீண்டும் கட்டளை மற்றும் கட்டுப்பாடு (C&C) சேவையகத்தைத் தொடர்பு கொள்கிறது, சமரசம் செய்யப்பட்ட கணினியில் மேலும் வழிமுறைகளை செயல்படுத்த காத்திருக்கிறது. கோப்புகளைப் பதிவிறக்குதல் மற்றும் பதிவேற்றுதல், கோப்பு முறைமையைக் கணக்கிடுதல், ஊடாடும் ஷெல்லைத் தொடங்குதல், ஷெல்கோடை இயக்குதல் மற்றும் ScanTCP, ScanRDP, DialTLS, ScanPing மற்றும் ScanWeb போன்ற கருவிகளைப் பயன்படுத்தி ஸ்கேன் நடத்துதல் உள்ளிட்ட பல்வேறு கட்டளைகளை இது ஆதரிக்கிறது.

இருப்பினும், தீம்பொருள் எவ்வாறு விநியோகிக்கப்படுகிறது மற்றும் உலகெங்கிலும் உள்ள பிற இலக்குகளுக்கு எதிராக அது பயன்படுத்தப்பட்டதா என்பது பற்றிய விவரங்கள் தெளிவாக இல்லை.

எர்த் லுஸ்கா இந்த புதிய கருவியைப் பயன்படுத்தும் போது, மற்ற சீன மொழி பேசும் அச்சுறுத்தல் நடிகர்களும் இதைப் பயன்படுத்துவதற்கான வாய்ப்பு உள்ளது. சீன வழங்குநரான அலிபாபாவின் IP முகவரிகளில் அனைத்து C&C சேவையகங்களும் ஹோஸ்ட் செய்யப்பட்டிருப்பது, மால்வேரும் அதன் C&C உள்கட்டமைப்பும் புதிய கருவிகளுக்கான ஆரம்ப சோதனைக் கட்டத்தின் ஒரு பகுதியாக இருக்கலாம் என்று ஆராய்ச்சியாளர்கள் ஊகிக்க வழிவகுத்தது.

பின்கதவு அச்சுறுத்தல்கள் பாதிக்கப்பட்டவர்களை கடுமையான விளைவுகளுக்கு வெளிப்படுத்துகின்றன

பேக்டோர் மால்வேர் கடுமையான ஆபத்துக்களை ஏற்படுத்துகிறது, ஏனெனில் இது தாக்குபவர்களுக்கு அங்கீகரிக்கப்படாத, சமரசம் செய்யப்பட்ட அமைப்புகளுக்கான இரகசிய அணுகலை வழங்குகிறது, சாதாரண பாதுகாப்பு நடவடிக்கைகளைத் தவிர்த்து. பின்கதவு தீம்பொருளுடன் தொடர்புடைய சில முக்கியமான அச்சுறுத்தல்கள்:

• நிரந்தரக் கட்டுப்பாடு : பின்கதவுகள் தாக்குபவர்கள் ஒரு அமைப்பிற்கான நீண்ட கால அணுகலைப் பராமரிக்க அனுமதிக்கின்றன, பெரும்பாலும் கண்டறியப்படுவதில்லை. இந்த தொடர்ச்சியான அணுகல் தாக்குபவர்களை காலப்போக்கில் கணினியை தொடர்ந்து கண்காணிக்கவும் கையாளவும் உதவுகிறது, இதனால் அச்சுறுத்தலை அகற்றுவது கடினமாகிறது.
• தரவு திருட்டு : தாக்குதல் நடத்துபவர்கள் நிதி தரவு, அறிவுசார் சொத்து, உள்நுழைவு சான்றுகள் மற்றும் ரகசிய தகவல்தொடர்புகள் போன்ற முக்கியமான தகவல்களை சேகரிக்க முடியும். இந்த சேகரிக்கப்பட்ட தரவு விற்கப்படலாம், மோசடிக்கு பயன்படுத்தப்படலாம் அல்லது அடையாள திருட்டு அல்லது உளவு உட்பட மேலும் தாக்குதல்களுக்கு வழிவகுக்கும்.
• நெட்வொர்க் சுரண்டல் : உள்ளே நுழைந்ததும், பின்கதவு மால்வேர் ஒரு நெட்வொர்க் முழுவதும் பக்கவாட்டில் பரவி, மற்ற சாதனங்களைப் பாதித்து, தாக்குதலின் நோக்கத்தை விரிவுபடுத்துகிறது. இது முழு நெட்வொர்க் சமரசத்திற்கு வழிவகுக்கும், தாக்குபவர்கள் பல அமைப்புகளை ஒரே நேரத்தில் கட்டுப்படுத்த அனுமதிக்கிறது.
• பிற மால்வேரின் டெலிவரி : ransomware, spyware அல்லது keyloggers போன்ற கூடுதல் தீம்பொருளுக்கான டெலிவரி பொறிமுறையாக பின்கதவுகள் பயன்படுத்தப்படலாம், இது மேலும் சேதம் மற்றும் இடையூறுகளை ஏற்படுத்தும்.
• கணினி கையாளுதல் மற்றும் நாசவேலை : தாக்குபவர்கள் பாதிக்கப்பட்ட கணினியில் கட்டளைகளை இயக்கலாம், உள்ளமைவுகளை மாற்றலாம், கோப்புகளை நீக்கலாம் அல்லது சிதைக்கலாம், பாதுகாப்பு கருவிகளை முடக்கலாம் மற்றும் முக்கியமான சேவைகளை சீர்குலைக்கலாம். தொழில்துறை அல்லது அரசாங்க அமைப்புகளின் நிகழ்வுகளில், இது கடுமையான செயல்பாட்டு அல்லது உள்கட்டமைப்பு சேதத்திற்கு வழிவகுக்கும்.
• ரிமோட் மானிட்டரிங் மற்றும் கண்ட்ரோல் : பேக்டோர் மால்வேர் தாக்குதல் செய்பவர்களை அமைதியாக செயல்பாடுகளைக் கண்காணிக்கவும், விசை அழுத்தங்களைப் பதிவு செய்யவும், ஸ்கிரீன் ஷாட்களைப் பிடிக்கவும், பயனர் நடத்தையைப் பதிவு செய்யவும் அனுமதிக்கிறது. இந்த அளவிலான கண்காணிப்பு பாதுகாப்புக் கொள்கைகளை சமரசம் செய்து, தாக்குபவர்கள் பாதிப்புகளைக் கண்டறியாமல் பயன்படுத்திக் கொள்ள அனுமதிக்கும்.
• சிறப்புரிமைகளின் அதிகரிப்பு : தாக்குபவர்கள் பெரும்பாலும் ஒரு கணினியில் தங்கள் சிறப்புரிமைகளை அதிகரிக்க பின்கதவுகளைப் பயன்படுத்துகின்றனர், அவர்களுக்கு முழு நிர்வாகக் கட்டுப்பாட்டைக் கொடுக்கிறார்கள். இது பாதுகாப்பு நெறிமுறைகளைத் தவிர்க்க அனுமதிக்கிறது, இது சட்டப்பூர்வ பயனர்கள் அல்லது பாதுகாப்புக் குழுக்கள் கட்டுப்பாட்டை மீண்டும் பெறுவது கிட்டத்தட்ட சாத்தியமற்றது.

சுருக்கமாக, பின்கதவு மால்வேர் ஒரு தீவிர அச்சுறுத்தலாக உள்ளது, ஏனெனில் இது தாக்குபவர்களுக்கு நீண்ட கால, மறைவான அணுகலை வழங்குகிறது, தரவுகளை திருடவும், தீம்பொருளை பரப்பவும், செயல்பாடுகளை கையாளவும் மற்றும் முழு நெட்வொர்க்குகளையும் சமரசம் செய்யவும், அனைத்தையும் கண்டறிந்து அழிக்க கடினமாக உள்ளது.