KTLVడోర్ బ్యాక్‌డోర్

ఎర్త్ లుస్కా అని పిలువబడే చైనీస్-మాట్లాడే ముప్పు సమూహం చైనాలోని ఒక తెలియని వ్యాపార సంస్థపై సైబర్ దాడిలో KTLVdoor అనే కొత్త బ్యాక్‌డోర్‌ను మోహరించినట్లు గుర్తించబడింది. గోలాంగ్‌లో అభివృద్ధి చేయబడిన ఈ కొత్తగా వెలికితీసిన మాల్వేర్ మైక్రోసాఫ్ట్ విండోస్ మరియు లైనక్స్ సిస్టమ్‌లను లక్ష్యంగా చేసుకుని క్రాస్-ప్లాట్‌ఫారమ్‌గా రూపొందించబడింది.

KTLVdoor భారీ అస్పష్టతను కలిగి ఉంది మరియు వివిధ సిస్టమ్ యుటిలిటీల వలె మారువేషంలో ఉంది. ఇది ఫైల్ మానిప్యులేషన్, కమాండ్ ఎగ్జిక్యూషన్ మరియు రిమోట్ పోర్ట్ స్కానింగ్‌తో సహా అనేక రకాల హానికరమైన కార్యకలాపాలను నిర్వహించడానికి దాడి చేసేవారిని అనుమతిస్తుంది.

చట్టబద్ధమైన సాధనాల వలె నటించడం

KTLVdoor sshd, Java, SQLite, bash మరియు edr-agent వంటి అనేక సాధనాలుగా మాస్క్వెరేడ్ చేస్తుంది. మాల్వేర్ డైనమిక్-లింక్ లైబ్రరీ (.dll) లేదా భాగస్వామ్య వస్తువు (.so) వలె పంపిణీ చేయబడుతుంది.

50కి పైగా కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్‌లను గుర్తించడం ఈ కార్యకలాపంలో గుర్తించదగిన అంశం, అన్నీ చైనీస్ కంపెనీ అలీబాబా ద్వారా హోస్ట్ చేయబడ్డాయి. ఈ సర్వర్‌లు వివిధ మాల్‌వేర్ వేరియంట్‌లకు లింక్ చేయబడ్డాయి, ఇతర చైనీస్ ముప్పు నటులతో భాగస్వామ్య అవస్థాపనకు సంభావ్యతను సూచిస్తున్నాయి.

బెదిరింపు నటులు చాలా సంవత్సరాలుగా చురుకుగా ఉన్నారు

ఆసియా, ఆస్ట్రేలియా, యూరప్ మరియు ఉత్తర అమెరికా అంతటా ప్రభుత్వ మరియు ప్రైవేట్ రంగ సంస్థలను లక్ష్యంగా చేసుకుని సైబర్ దాడులను నిర్వహిస్తూ, ఎర్త్ లుస్కా కనీసం 2021 నుండి క్రియాశీలంగా ఉంది. రెడ్‌హోటల్ మరియు APT27 (బడ్‌వార్మ్, ఎమిసరీ పాండా మరియు ఐరన్ టైగర్ అని కూడా పిలుస్తారు) అని పిలువబడే ఇతర చొరబాటు సెట్‌లతో సమూహం కొన్ని వ్యూహాత్మక సారూప్యతలను కలిగి ఉందని నమ్ముతారు.

సమూహం యొక్క తాజా మాల్వేర్, KTLVdoor, చాలా అస్పష్టంగా ఉంది. ఇది దాని కాన్ఫిగరేషన్ ఫైల్‌లో కనుగొనబడిన 'KTLV' అని లేబుల్ చేయబడిన మార్కర్ నుండి దాని పేరును పొందింది, ఇది దాని కార్యకలాపాలకు అవసరమైన వివిధ పారామితులను కలిగి ఉంటుంది, కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్‌లకు కనెక్ట్ అవుతుంది.

చాలా తెలియనివి ఇంకా మిగిలి ఉన్నాయి

సక్రియం అయిన తర్వాత, మాల్వేర్ కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్‌ని పదేపదే సంప్రదిస్తుంది, రాజీపడిన సిస్టమ్‌లో అమలు చేయడానికి తదుపరి సూచనల కోసం వేచి ఉంది. ఇది ఫైల్‌లను డౌన్‌లోడ్ చేయడం మరియు అప్‌లోడ్ చేయడం, ఫైల్ సిస్టమ్‌ను లెక్కించడం, ఇంటరాక్టివ్ షెల్‌ను ప్రారంభించడం, షెల్‌కోడ్‌ను అమలు చేయడం మరియు ScanTCP, ScanRDP, DialTLS, ScanPing మరియు ScanWeb వంటి సాధనాలను ఉపయోగించి స్కాన్‌లను నిర్వహించడం వంటి వివిధ ఆదేశాలకు మద్దతు ఇస్తుంది.

అయినప్పటికీ, మాల్వేర్ ఎలా పంపిణీ చేయబడింది మరియు ప్రపంచవ్యాప్తంగా ఇతర లక్ష్యాలకు వ్యతిరేకంగా ఉపయోగించబడిందా అనే వివరాలు అస్పష్టంగానే ఉన్నాయి.

ఎర్త్ లుస్కా ఈ కొత్త సాధనాన్ని ఉపయోగిస్తుండగా, ఇతర చైనీస్ మాట్లాడే ముప్పు నటులు కూడా దీనిని ఉపయోగించే అవకాశం ఉంది. చైనీస్ ప్రొవైడర్ అయిన అలీబాబా నుండి అన్ని C&C సర్వర్‌లు IP చిరునామాలపై హోస్ట్ చేయబడిన వాస్తవం, మాల్వేర్ మరియు దాని C&C అవస్థాపన కొత్త సాధనాల కోసం ప్రారంభ పరీక్ష దశలో భాగంగా ఉండవచ్చని పరిశోధకులు ఊహించారు.

బ్యాక్‌డోర్ బెదిరింపులు బాధితులను తీవ్ర పరిణామాలకు గురిచేస్తాయి

బ్యాక్‌డోర్ మాల్వేర్ తీవ్రమైన ప్రమాదాలను కలిగిస్తుంది ఎందుకంటే ఇది సాధారణ భద్రతా చర్యలను దాటవేస్తూ, రాజీపడిన సిస్టమ్‌లకు అనధికార, రహస్య యాక్సెస్‌తో దాడి చేసేవారికి అందిస్తుంది. బ్యాక్‌డోర్ మాల్వేర్‌తో అనుబంధించబడిన కొన్ని ముఖ్యమైన బెదిరింపులు:

• పెర్సిస్టెంట్ కంట్రోల్ : బ్యాక్‌డోర్‌లు దాడి చేసేవారిని సిస్టమ్‌కు దీర్ఘకాలిక యాక్సెస్‌ను నిర్వహించడానికి అనుమతిస్తాయి, తరచుగా గుర్తించబడవు. ఈ నిరంతర యాక్సెస్ దాడి చేసేవారిని కాలక్రమేణా సిస్టమ్‌ను నిరంతరం పర్యవేక్షించడానికి మరియు మార్చడానికి అనుమతిస్తుంది, దీని వలన ముప్పును తొలగించడం కష్టమవుతుంది.
• డేటా థెఫ్ట్ : దాడి చేసేవారు ఆర్థిక డేటా, మేధో సంపత్తి, లాగిన్ ఆధారాలు మరియు రహస్య కమ్యూనికేషన్‌ల వంటి సున్నితమైన సమాచారాన్ని పొందవచ్చు. ఈ సేకరించిన డేటా విక్రయించబడవచ్చు, మోసం కోసం ఉపయోగించవచ్చు లేదా గుర్తింపు దొంగతనం లేదా గూఢచర్యంతో సహా తదుపరి దాడులకు దారితీయవచ్చు.
• నెట్‌వర్క్ దోపిడీ : ఒకసారి లోపలికి, బ్యాక్‌డోర్ మాల్వేర్ నెట్‌వర్క్ అంతటా పార్శ్వంగా వ్యాపిస్తుంది, ఇతర పరికరాలకు సోకుతుంది మరియు దాడి యొక్క పరిధిని విస్తరిస్తుంది. ఇది పూర్తి నెట్‌వర్క్ రాజీకి దారి తీస్తుంది, దాడి చేసేవారు బహుళ సిస్టమ్‌లను ఏకకాలంలో నియంత్రించడానికి అనుమతిస్తుంది.
• ఇతర మాల్వేర్ డెలివరీ : బ్యాక్‌డోర్‌లను ransomware, స్పైవేర్ లేదా కీలాగర్‌లు వంటి అదనపు మాల్వేర్‌ల కోసం డెలివరీ మెకానిజం వలె ఉపయోగించవచ్చు, ఇది మరింత నష్టం మరియు అంతరాయాన్ని కలిగిస్తుంది.
• సిస్టమ్ మానిప్యులేషన్ మరియు విధ్వంసం : దాడి చేసేవారు సోకిన సిస్టమ్‌పై ఆదేశాలను అమలు చేయవచ్చు, కాన్ఫిగరేషన్‌లను మార్చవచ్చు, ఫైల్‌లను తొలగించడం లేదా పాడుచేయడం, భద్రతా సాధనాలను నిలిపివేయడం మరియు క్లిష్టమైన సేవలకు అంతరాయం కలిగించవచ్చు. పారిశ్రామిక లేదా ప్రభుత్వ వ్యవస్థల విషయంలో, ఇది తీవ్రమైన కార్యాచరణ లేదా మౌలిక సదుపాయాల నష్టానికి దారి తీస్తుంది.
• రిమోట్ మానిటరింగ్ మరియు కంట్రోల్ : బ్యాక్‌డోర్ మాల్వేర్ దాడి చేసేవారిని నిశ్శబ్దంగా కార్యకలాపాలను పర్యవేక్షించడానికి, కీస్ట్రోక్‌లను రికార్డ్ చేయడానికి, స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేయడానికి మరియు వినియోగదారు ప్రవర్తనను లాగింగ్ చేయడానికి అనుమతిస్తుంది. ఈ స్థాయి నిఘా భద్రతా విధానాలతో రాజీ పడవచ్చు మరియు దాడి చేసే వ్యక్తి దుర్బలత్వాన్ని గుర్తించకుండా ఉపయోగించుకోవచ్చు.
• ప్రత్యేకాధికారాల పెరుగుదల : దాడి చేసేవారు తరచుగా బ్యాక్‌డోర్‌లను ఉపయోగించి సిస్టమ్‌లో తమ అధికారాలను పెంచుకుంటారు, వారికి పూర్తి పరిపాలనా నియంత్రణను ఇస్తారు. ఇది భద్రతా ప్రోటోకాల్‌లను దాటవేయడానికి వారిని అనుమతిస్తుంది, చట్టబద్ధమైన వినియోగదారులు లేదా భద్రతా బృందాలు నియంత్రణను తిరిగి పొందడం దాదాపు అసాధ్యం.

సారాంశంలో, బ్యాక్‌డోర్ మాల్వేర్ ఒక తీవ్రమైన ముప్పు ఎందుకంటే ఇది దాడి చేసేవారికి సిస్టమ్‌లకు దీర్ఘకాలిక, దాచిన యాక్సెస్‌ను మంజూరు చేస్తుంది, డేటాను దొంగిలించడానికి, మాల్వేర్‌లను వ్యాప్తి చేయడానికి, కార్యకలాపాలను మార్చడానికి మరియు మొత్తం నెట్‌వర్క్‌లను రాజీ చేయడానికి వీలు కల్పిస్తుంది, ఇవన్నీ గుర్తించడం మరియు నిర్మూలించడం కష్టం.