KTLVdoor แบ็คดอร์

กลุ่มภัยคุกคามที่พูดภาษาจีนที่รู้จักกันในชื่อ Earth Lusca ถูกตรวจพบว่ากำลังใช้แบ็คดอร์ใหม่ที่เรียกว่า KTLVdoor ในการโจมตีทางไซเบอร์ต่อบริษัทการค้าที่ไม่เปิดเผยแห่งหนึ่งในจีน มัลแวร์ที่เพิ่งค้นพบนี้พัฒนาด้วย Golang และได้รับการออกแบบมาให้ใช้งานได้หลายแพลตฟอร์ม โดยกำหนดเป้าหมายทั้งระบบ Microsoft Windows และ Linux

KTLVdoor มีลักษณะการบดบังข้อมูลอย่างหนักและปลอมตัวเป็นยูทิลิตี้ระบบต่างๆ ซึ่งทำให้ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นอันตรายต่างๆ ได้มากมาย รวมถึงการจัดการไฟล์ การเรียกใช้คำสั่ง และการสแกนพอร์ตจากระยะไกล

การแอบอ้างเป็นเครื่องมือที่ถูกกฎหมาย

KTLVdoor ปลอมตัวเป็นเครื่องมือหลายอย่าง เช่น sshd, Java, SQLite, bash และ edr-agent เป็นต้น มัลแวร์นี้แพร่กระจายเป็นไลบรารีลิงก์แบบไดนามิก (.dll) หรืออ็อบเจ็กต์ที่ใช้ร่วมกัน (.so)

ลักษณะเด่นอย่างหนึ่งของกิจกรรมนี้คือการระบุเซิร์ฟเวอร์ Command-and-Control (C&C) มากกว่า 50 เซิร์ฟเวอร์ ซึ่งทั้งหมดโฮสต์โดยบริษัท Alibaba ของจีน เซิร์ฟเวอร์เหล่านี้เชื่อมโยงกับมัลแวร์หลายรูปแบบ ซึ่งบ่งชี้ถึงศักยภาพของโครงสร้างพื้นฐานที่ใช้ร่วมกับผู้ก่อภัยคุกคามชาวจีนรายอื่น

ผู้ก่อภัยคุกคามมีพฤติกรรมเคลื่อนไหวมานานหลายปีแล้ว

Earth Lusca ได้เคลื่อนไหวมาตั้งแต่ปี 2021 เป็นอย่างน้อย โดยทำการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายสถาบันทั้งภาครัฐและเอกชนทั่วเอเชีย ออสเตรเลีย ยุโรป และอเมริกาเหนือ เชื่อกันว่ากลุ่มนี้มีความคล้ายคลึงกับกลุ่มบุกรุกอื่นๆ ที่รู้จักกันในชื่อ RedHotel และ APT27 (เรียกอีกอย่างว่า Budworm, Emissary Panda และ Iron Tiger)

มัลแวร์ตัวล่าสุดของกลุ่ม KTLVdoor มีลักษณะซับซ้อนมาก โดยชื่อมัลแวร์นี้มาจากมาร์กเกอร์ที่มีชื่อว่า "KTLV" ที่พบในไฟล์กำหนดค่า ซึ่งมีพารามิเตอร์ต่างๆ ที่จำเป็นสำหรับการทำงานของมัลแวร์ เช่น เซิร์ฟเวอร์ Command-and-Control (C&C) ที่มัลแวร์เชื่อมต่อด้วย

สิ่งที่ไม่รู้มากมายยังคงมีอยู่

เมื่อเปิดใช้งานแล้ว มัลแวร์จะติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C&C) ซ้ำๆ เพื่อรอคำสั่งเพิ่มเติมเพื่อดำเนินการกับระบบที่ถูกบุกรุก มัลแวร์รองรับคำสั่งต่างๆ เช่น การดาวน์โหลดและอัปโหลดไฟล์ การนับจำนวนระบบไฟล์ การเปิดเชลล์แบบโต้ตอบ การรันเชลล์โค้ด และการสแกนโดยใช้เครื่องมือต่างๆ เช่น ScanTCP, ScanRDP, DialTLS, ScanPing และ ScanWeb เป็นต้น

อย่างไรก็ตาม รายละเอียดเกี่ยวกับการแพร่กระจายของมัลแวร์และการใช้โจมตีเป้าหมายอื่น ๆ ทั่วโลกยังคงไม่ชัดเจน

ในขณะที่ Earth Lusca ใช้เครื่องมือใหม่นี้ มีความเป็นไปได้ที่ผู้คุกคามที่พูดภาษาจีนรายอื่นๆ ก็อาจใช้เครื่องมือนี้ด้วย ความจริงที่ว่าเซิร์ฟเวอร์ C&C ทั้งหมดถูกโฮสต์บนที่อยู่ IP ของ Alibaba ซึ่งเป็นผู้ให้บริการในจีน ทำให้บรรดานักวิจัยคาดเดาว่ามัลแวร์และโครงสร้างพื้นฐาน C&C อาจเป็นส่วนหนึ่งของขั้นตอนการทดสอบเบื้องต้นสำหรับเครื่องมือใหม่

ภัยคุกคามจากทางลับทำให้เหยื่อต้องเผชิญผลที่ร้ายแรง

มัลแวร์แบ็กดอร์ก่อให้เกิดอันตรายร้ายแรงเนื่องจากทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกโดยไม่ได้รับอนุญาตและแอบแฝง ทำให้หลีกเลี่ยงมาตรการรักษาความปลอดภัยปกติได้ ภัยคุกคามที่สำคัญที่สุดบางส่วนที่เกี่ยวข้องกับมัลแวร์แบ็กดอร์ ได้แก่:

• การควบคุมอย่างต่อเนื่อง : แบ็คดอร์ทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ในระยะยาวโดยมักจะไม่ถูกตรวจพบ การเข้าถึงอย่างต่อเนื่องนี้ทำให้ผู้โจมตีสามารถตรวจสอบและจัดการระบบได้อย่างต่อเนื่อง ทำให้ยากต่อการกำจัดภัยคุกคาม
• การโจรกรรมข้อมูล : ผู้โจมตีสามารถขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลทางการเงิน ทรัพย์สินทางปัญญา ข้อมูลรับรองการเข้าสู่ระบบ และการสื่อสารที่เป็นความลับ ข้อมูลที่ขโมยมาสามารถนำไปขาย นำไปใช้ฉ้อโกง หรือนำไปสู่การโจมตีเพิ่มเติม รวมถึงการโจรกรรมข้อมูลประจำตัวหรือการจารกรรมข้อมูล
• การใช้ประโยชน์จากเครือข่าย : เมื่อเข้าไปอยู่ในเครือข่ายแล้ว มัลแวร์แบ็กดอร์สามารถแพร่กระจายไปทั่วเครือข่าย ทำให้อุปกรณ์อื่นติดเชื้อและขยายขอบเขตการโจมตี ซึ่งอาจนำไปสู่การบุกรุกเครือข่ายทั้งหมด ทำให้ผู้โจมตีสามารถควบคุมระบบหลายระบบพร้อมกันได้
• การส่งมอบมัลแวร์อื่น ๆ : แบ็กดอร์สามารถใช้เป็นกลไกการส่งมอบมัลแวร์เพิ่มเติม เช่น แรนซัมแวร์ สปายแวร์ หรือคีย์ล็อกเกอร์ ซึ่งอาจทำให้เกิดความเสียหายและการหยุดชะงักเพิ่มเติมได้
• การจัดการและทำลายระบบ : ผู้โจมตีสามารถดำเนินการคำสั่งบนระบบที่ติดเชื้อ โดยเปลี่ยนแปลงการกำหนดค่า ลบหรือทำให้ไฟล์เสียหาย ปิดใช้งานเครื่องมือรักษาความปลอดภัย และขัดขวางบริการที่สำคัญ ในกรณีของระบบอุตสาหกรรมหรือของรัฐบาล สิ่งนี้อาจนำไปสู่ความเสียหายร้ายแรงต่อการดำเนินงานหรือโครงสร้างพื้นฐาน
• การตรวจสอบและควบคุมระยะไกล : มัลแวร์แบ็คดอร์ทำให้ผู้โจมตีสามารถตรวจสอบกิจกรรมต่างๆ ได้อย่างเงียบๆ เช่น บันทึกการกดแป้นพิมพ์ จับภาพหน้าจอ และบันทึกพฤติกรรมของผู้ใช้ การเฝ้าระวังในระดับนี้สามารถทำลายนโยบายความปลอดภัยและทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ต่างๆ โดยไม่ถูกจับได้
• การเพิ่มสิทธิ์ : ผู้โจมตีมักใช้แบ็คดอร์เพื่อขยายสิทธิ์ของตนบนระบบ ทำให้พวกเขามีอำนาจในการดูแลระบบอย่างเต็มรูปแบบ ซึ่งช่วยให้พวกเขาสามารถข้ามโปรโตคอลความปลอดภัยได้ ทำให้ผู้ใช้ที่ถูกกฎหมายหรือทีมรักษาความปลอดภัยแทบไม่มีทางควบคุมระบบได้อีกต่อไป

โดยสรุปแล้วมัลแวร์แบ็คดอร์ถือเป็นภัยคุกคามร้ายแรงเนื่องจากทำให้ผู้โจมตีสามารถเข้าถึงระบบได้อย่างซ่อนเร้นในระยะยาว ทำให้สามารถขโมยข้อมูล แพร่กระจายมัลแวร์ จัดการการทำงาน และเข้าถึงเครือข่ายทั้งหมดได้ ทั้งนี้ยังคงตรวจจับและกำจัดได้ยากอีกด้วย