KTLVdoor Backdoor

Ang grupo ng pananakot na nagsasalita ng Chinese na kilala bilang Earth Lusca ay na-detect na nagde-deploy ng bagong backdoor na tinatawag na KTLVdoor sa isang cyber attack laban sa isang hindi nasabi na kumpanya ng kalakalan sa China. Ang bagong natuklasang malware na ito, na binuo sa Golang, ay idinisenyo upang maging cross-platform, na nagta-target sa parehong mga Microsoft Windows at Linux system.

Nagtatampok ang KTLVdoor ng matinding obfuscation at nagpapakilala sa sarili bilang iba't ibang mga utility ng system. Nagbibigay-daan ito sa mga umaatake na magsagawa ng isang hanay ng mga nakakahamak na aktibidad, kabilang ang pagmamanipula ng file, pagpapatupad ng command at pag-scan ng malayuang port.

Pagpapanggap na Mga Lehitimong Tool

Ang KTLVdoor ay nagpapanggap bilang ilang mga tool, kabilang ang sshd, Java, SQLite, bash, at edr-agent, bukod sa iba pa. Ang malware ay ipinamamahagi bilang alinman sa isang dynamic-link na library (.dll) o isang nakabahaging object (.so).

Ang isang kapansin-pansing aspeto ng aktibidad na ito ay ang pagkakakilanlan ng higit sa 50 Command-and-Control (C&C) server, lahat ay hino-host ng kumpanyang Tsino na Alibaba. Na-link ang mga server na ito sa iba't ibang variant ng malware, na nagmumungkahi ng potensyal para sa nakabahaging imprastraktura sa iba pang mga aktor ng pagbabanta ng China.

Naging Aktibo ang mga Threat Actor sa loob ng Ilang Taon

Ang Earth Lusca ay naging aktibo mula pa noong 2021, nagsasagawa ng mga cyber attack na nagta-target sa mga institusyong pampubliko at pribadong sektor sa buong Asia, Australia, Europe at North America. Ang grupo ay pinaniniwalaang may ilang mga taktikal na pagkakatulad sa iba pang mga intrusion set na kilala bilang RedHotel at APT27 (tinukoy din bilang Budworm, Emissary Panda at Iron Tiger).

Ang pinakabagong malware ng grupo, ang KTLVdoor, ay lubos na na-obfuscated. Kinukuha nito ang pangalan nito mula sa isang marker na may label na 'KTLV' na makikita sa configuration file nito, na kinabibilangan ng iba't ibang parameter na kinakailangan para sa mga operasyon nito, gaya ng Command-and-Control (C&C) na mga server na kinokonekta nito.

Marami Pa ring Hindi Alam

Kapag na-activate na, paulit-ulit na nakikipag-ugnayan ang malware sa Command-and-Control (C&C) server, naghihintay ng karagdagang mga tagubilin na isasagawa sa nakompromisong system. Sinusuportahan nito ang iba't ibang mga command, kabilang ang pag-download at pag-upload ng mga file, pag-enumerate sa file system, paglulunsad ng interactive na shell, pagpapatakbo ng shellcode, at pagsasagawa ng mga pag-scan gamit ang mga tool tulad ng ScanTCP, ScanRDP, DialTLS, ScanPing, at ScanWeb, bukod sa iba pa.

Gayunpaman, ang mga detalye sa kung paano ipinamamahagi ang malware at kung ito ay ginamit laban sa iba pang mga target sa buong mundo ay nananatiling hindi malinaw.

Habang ginagamit ng Earth Lusca ang bagong tool na ito, may posibilidad na maaari rin itong gamitin ng iba pang mga aktor ng pananakot na nagsasalita ng Chinese. Ang katotohanan na ang lahat ng C&C server ay naka-host sa mga IP address mula sa Alibaba, isang Chinese provider, ay nagbunsod sa mga mananaliksik na isipin na ang malware at ang C&C na imprastraktura nito ay maaaring maging bahagi ng isang maagang yugto ng pagsubok para sa mga bagong tool.

Inilalantad ng mga Banta sa Backdoor ang mga Biktima sa Matinding Bunga

Ang backdoor malware ay nagdudulot ng malubhang panganib dahil nagbibigay ito sa mga umaatake ng hindi awtorisado, lihim na pag-access sa mga nakompromisong system, na lumalampas sa mga normal na hakbang sa seguridad. Ang ilan sa mga pinakamahalagang banta na nauugnay sa backdoor malware ay kinabibilangan ng:

• Persistent Control : Ang mga backdoor ay nagbibigay-daan sa mga umaatake na mapanatili ang pangmatagalang access sa isang system, kadalasang hindi natukoy. Ang patuloy na pag-access na ito ay nagbibigay-daan sa mga umaatake na patuloy na subaybayan at manipulahin ang system sa paglipas ng panahon, na nagpapahirap sa pag-alis ng banta.
• Pagnanakaw ng Data : Maaaring umani ang mga umaatake ng sensitibong impormasyon gaya ng data sa pananalapi, intelektwal na ari-arian, mga kredensyal sa pag-log in at kumpidensyal na komunikasyon. Ang na-harvest na data na ito ay maaaring ibenta, gamitin para sa pandaraya, o humantong sa higit pang mga pag-atake, kabilang ang pagnanakaw ng pagkakakilanlan o espiya.
• Pagsasamantala sa Network : Kapag nasa loob na, ang isang backdoor na malware ay maaaring kumalat sa gilid sa isang network, makahawa sa iba pang mga device at magpapalawak ng saklaw ng pag-atake. Maaari itong humantong sa ganap na kompromiso sa network, na nagpapahintulot sa mga umaatake na kontrolin ang maraming system nang sabay-sabay.
• Paghahatid ng Iba Pang Malware : Maaaring gamitin ang mga backdoor bilang mekanismo ng paghahatid para sa karagdagang malware, gaya ng ransomware, spyware, o keylogger, na maaaring magdulot ng karagdagang pinsala at pagkaantala.
• Pagmamanipula at Pansabotahe ng System : Maaaring magsagawa ng mga utos ang mga umaatake sa infected na system, binabago ang mga configuration, pagtanggal o pagsira ng mga file, hindi pagpapagana ng mga tool sa seguridad, at pag-abala sa mga kritikal na serbisyo. Sa mga kaso ng mga sistemang pang-industriya o pamahalaan, maaari itong humantong sa matinding pinsala sa pagpapatakbo o imprastraktura.
• Remote Monitoring and Control : Ang backdoor malware ay nagbibigay-daan sa mga attacker na tahimik na subaybayan ang mga aktibidad, pag-record ng mga keystroke, pagkuha ng mga screenshot, at pag-log ng gawi ng user. Ang antas ng pagsubaybay na ito ay maaaring makompromiso ang mga patakaran sa seguridad at payagan ang umaatake na samantalahin ang mga kahinaan nang walang pagtuklas.
• Pagtaas ng mga Pribilehiyo : Madalas na ginagamit ng mga umaatake ang mga backdoor upang palakihin ang kanilang mga pribilehiyo sa isang system, na nagbibigay sa kanila ng ganap na kontrol na administratibo. Nagbibigay-daan ito sa kanila na i-bypass ang mga protocol ng seguridad, na ginagawang halos imposible para sa mga lehitimong user o security team na mabawi ang kontrol.

Sa buod, ang backdoor malware ay isang seryosong banta dahil binibigyan nito ang mga umaatake ng pangmatagalan, nakatagong pag-access sa mga system, na nagbibigay-daan sa kanila na magnakaw ng data, magpakalat ng malware, manipulahin ang mga operasyon, at ikompromiso ang buong network, lahat habang nananatiling mahirap matukoy at mapuksa.