KTLVdoor Arka Kapı

Earth Lusca olarak bilinen Çince konuşan tehdit grubu, Çin'deki açıklanmayan bir ticaret şirketine karşı siber saldırıda KTLVdoor adlı yeni bir arka kapı kullandığı tespit edildi. Golang'da geliştirilen bu yeni keşfedilen kötü amaçlı yazılım, hem Microsoft Windows hem de Linux sistemlerini hedef alarak çapraz platform olacak şekilde tasarlandı.

KTLVdoor, yoğun bir karartma özelliğine sahiptir ve kendini çeşitli sistem yardımcı programları olarak gizler. Bu, saldırganların dosya manipülasyonu, komut yürütme ve uzaktan port taraması gibi bir dizi kötü amaçlı etkinlik gerçekleştirmesine olanak tanır.

Meşru Araçların Taklidi

KTLVdoor, sshd, Java, SQLite, bash ve edr-agent gibi çeşitli araçlar olarak gizlenir. Kötü amaçlı yazılım, dinamik bağlantı kitaplığı (.dll) veya paylaşımlı nesne (.so) olarak dağıtılır.

Bu etkinliğin dikkat çekici bir yönü, hepsi Çinli Alibaba şirketi tarafından barındırılan 50'den fazla Komuta ve Kontrol (C&C) sunucusunun tanımlanmasıdır. Bu sunucular çeşitli kötü amaçlı yazılım varyantlarıyla ilişkilendirilmiştir ve bu da diğer Çinli tehdit aktörleriyle paylaşılan altyapı potansiyelini göstermektedir.

Tehdit Aktörleri Birkaç Yıldır Aktif

Earth Lusca en az 2021'den beri aktif olup Asya, Avustralya, Avrupa ve Kuzey Amerika'daki hem kamu hem de özel sektör kuruluşlarını hedef alan siber saldırılar gerçekleştiriyor. Grubun, RedHotel ve APT27 (ayrıca Budworm, Emissary Panda ve Iron Tiger olarak da bilinir) olarak bilinen diğer saldırı setleriyle bazı taktiksel benzerliklere sahip olduğuna inanılıyor.

Grubun en son kötü amaçlı yazılımı KTLVdoor, oldukça karmaşıktır. Adını, bağlandığı Komuta ve Kontrol (C&C) sunucuları gibi işlemleri için gerekli çeşitli parametreleri içeren yapılandırma dosyasında bulunan 'KTLV' etiketli bir işaretleyiciden alır.

Hala Çok Fazla Bilinmeyen Var

Etkinleştirildikten sonra, kötü amaçlı yazılım Komuta ve Kontrol (C&C) sunucusuyla tekrar tekrar iletişim kurar ve tehlikeye atılan sistemde yürütülecek daha fazla talimat bekler. Dosyaları indirme ve yükleme, dosya sistemini numaralandırma, etkileşimli bir kabuk başlatma, kabuk kodunu çalıştırma ve ScanTCP, ScanRDP, DialTLS, ScanPing ve ScanWeb gibi araçları kullanarak taramalar gerçekleştirme gibi çeşitli komutları destekler.

Ancak kötü amaçlı yazılımın nasıl dağıtıldığı ve dünya çapında diğer hedeflere karşı kullanılıp kullanılmadığı konusundaki ayrıntılar henüz net değil.

Earth Lusca bu yeni aracı kullanırken, diğer Çince konuşan tehdit aktörleri tarafından da kullanılması olasılığı var. Tüm C&C sunucularının Çinli bir sağlayıcı olan Alibaba'dan alınan IP adreslerinde barındırılması, araştırmacıları kötü amaçlı yazılımın ve C&C altyapısının yeni araçlar için erken bir test aşamasının parçası olabileceği konusunda spekülasyon yapmaya yöneltti.

Arka Kapı Tehditleri Mağdurları Ciddi Sonuçlara Maruz Bırakır

Arka kapı kötü amaçlı yazılımları, saldırganlara normal güvenlik önlemlerini atlatarak tehlikeye atılmış sistemlere yetkisiz, gizli erişim sağladığı için ciddi tehlikeler oluşturur. Arka kapı kötü amaçlı yazılımlarıyla ilişkili en önemli tehditlerden bazıları şunlardır:

• Kalıcı Kontrol : Arka kapılar saldırganların bir sisteme uzun süreli erişimini sürdürmesine olanak tanır, genellikle tespit edilemez. Bu kalıcı erişim saldırganların sistemi zaman içinde sürekli olarak izlemesini ve manipüle etmesini sağlayarak tehdidi ortadan kaldırmayı zorlaştırır.
• Veri Hırsızlığı : Saldırganlar finansal veriler, fikri mülkiyet, oturum açma kimlik bilgileri ve gizli iletişimler gibi hassas bilgileri toplayabilir. Toplanan bu veriler satılabilir, dolandırıcılık için kullanılabilir veya kimlik hırsızlığı veya casusluk gibi daha fazla saldırıya yol açabilir.
• Ağ İstismarı : İçeri girdikten sonra, bir arka kapı kötü amaçlı yazılımı bir ağ boyunca yanal olarak yayılabilir, diğer cihazları enfekte edebilir ve saldırının kapsamını genişletebilir. Bu, saldırganların aynı anda birden fazla sistemi kontrol etmesine olanak tanıyan tam ağ ihlaline yol açabilir.
• Diğer Kötü Amaçlı Yazılımların Dağıtımı : Arka kapılar, fidye yazılımları, casus yazılımlar veya tuş kaydediciler gibi daha fazla hasara ve kesintiye neden olabilecek ek kötü amaçlı yazılımlar için bir dağıtım mekanizması olarak kullanılabilir.
• Sistem Manipülasyonu ve Sabotajı : Saldırganlar, enfekte olmuş sistemde komutlar yürütebilir, yapılandırmaları değiştirebilir, dosyaları silebilir veya bozabilir, güvenlik araçlarını devre dışı bırakabilir ve kritik hizmetleri kesintiye uğratabilir. Endüstriyel veya hükümet sistemlerinde bu, ciddi operasyonel veya altyapı hasarına yol açabilir.
• Uzaktan İzleme ve Kontrol : Arka kapı kötü amaçlı yazılımı, saldırganların sessizce aktiviteleri izlemesine, tuş vuruşlarını kaydetmesine, ekran görüntüleri yakalamasına ve kullanıcı davranışlarını günlüğe kaydetmesine olanak tanır. Bu düzeydeki gözetim, güvenlik politikalarını tehlikeye atabilir ve saldırganın tespit edilmeden güvenlik açıklarından yararlanmasına olanak tanır.
• Ayrıcalıkların Yükseltilmesi : Saldırganlar genellikle bir sistemdeki ayrıcalıklarını yükseltmek için arka kapıları kullanır ve bu da onlara tam yönetim kontrolü sağlar. Bu, güvenlik protokollerini atlatmalarına olanak tanır ve meşru kullanıcıların veya güvenlik ekiplerinin kontrolü yeniden ele geçirmesini neredeyse imkansız hale getirir.

Özetle, arka kapı kötü amaçlı yazılımları ciddi bir tehdittir çünkü saldırganlara sistemlere uzun vadeli, gizli erişim sağlayarak verileri çalmalarına, kötü amaçlı yazılımları yaymalarına, işlemleri manipüle etmelerine ve tüm ağları tehlikeye atmalarına olanak tanır; tüm bunları yaparken de tespit edilmesi ve ortadan kaldırılması zordur.