KTLVdoor Бекдор
Було виявлено, що китайськомовна група загроз, відома як Earth Lusca, розгортає новий бекдор під назвою KTLVdoor під час кібератаки проти невідомої торгової компанії в Китаї. Це нещодавно виявлене зловмисне програмне забезпечення, розроблене в Golang, розроблене як кросплатформне, націлене як на системи Microsoft Windows, так і на Linux.
KTLVdoor має серйозну обфускацію та маскується під різні системні утиліти. Це дозволяє зловмисникам виконувати низку зловмисних дій, включаючи маніпуляції з файлами, виконання команд і віддалене сканування портів.
Зміст
Видача себе за легітимні інструменти
KTLVdoor маскується під кілька інструментів, зокрема sshd, Java, SQLite, bash і edr-agent. Зловмисне програмне забезпечення поширюється як бібліотека динамічного компонування (.dll) або спільний об’єкт (.so).
Примітним аспектом цієї діяльності є ідентифікація понад 50 серверів командування та управління (C&C), усі розміщені китайською компанією Alibaba. Ці сервери були пов’язані з різними варіантами зловмисного програмного забезпечення, що свідчить про потенціал спільної інфраструктури з іншими китайськими загрозливими суб’єктами.
Зловмисники діють протягом кількох років
The Earth Lusca активно працює щонайменше з 2021 року, здійснюючи кібератаки як на державні, так і на приватні установи в Азії, Австралії, Європі та Північній Америці. Вважається, що група має певну тактичну схожість з іншими наборами вторгнень, відомими як RedHotel і APT27 (також відомі як Budworm, Emissary Panda та Iron Tiger).
Останнє зловмисне програмне забезпечення групи, KTLVdoor, дуже заплутане. Він отримав свою назву від маркера з позначкою «KTLV», знайденого в його файлі конфігурації, який містить різні параметри, необхідні для його операцій, наприклад, сервери командування та керування (C&C), до яких він підключається.
Залишається ще багато невідомого
Після активації зловмисне програмне забезпечення неодноразово зв’язується з сервером командування та керування (C&C), очікуючи подальших інструкцій для виконання в скомпрометованій системі. Він підтримує різні команди, включаючи завантаження та завантаження файлів, перерахування файлової системи, запуск інтерактивної оболонки, запуск шелл-коду та проведення сканування за допомогою таких інструментів, як ScanTCP, ScanRDP, DialTLS, ScanPing і ScanWeb тощо.
Однак подробиці про те, як поширюється шкідливе програмне забезпечення та чи використовувалося воно проти інших цілей у всьому світі, залишаються незрозумілими.
Незважаючи на те, що Earth Lusca використовує цей новий інструмент, існує ймовірність, що ним можуть скористатися й інші китайськомовні загрозливі особи. Той факт, що всі сервери C&C були розміщені на IP-адресах Alibaba, китайського провайдера, змусив дослідників припустити, що шкідливе програмне забезпечення та його інфраструктура C&C можуть бути частиною ранньої фази тестування нових інструментів.
Загрози через бекдор наражають жертв на тяжкі наслідки
Зловмисне програмне забезпечення бекдор становить серйозну небезпеку, оскільки надає зловмисникам несанкціонований прихований доступ до скомпрометованих систем, минаючи звичайні заходи безпеки. Деякі з найбільш значущих загроз, пов’язаних із зловмисним програмним забезпеченням бекдора, включають:
- Постійний контроль : бекдори дозволяють зловмисникам підтримувати тривалий доступ до системи, часто непомічений. Цей постійний доступ дозволяє зловмисникам постійно відстежувати та маніпулювати системою з часом, що ускладнює усунення загрози.
- Крадіжка даних : зловмисники можуть отримати конфіденційну інформацію, таку як фінансові дані, інтелектуальну власність, облікові дані для входу та конфіденційні повідомлення. Ці зібрані дані можуть бути продані, використані для шахрайства або призвести до подальших атак, включаючи крадіжку особистих даних або шпигунство.
- Експлуатація мережі : потрапивши всередину, бекдорне шкідливе програмне забезпечення може поширюватися по всій мережі, заражаючи інші пристрої та розширюючи сферу атаки. Це може призвести до повного зламу мережі, дозволяючи зловмисникам контролювати декілька систем одночасно.
- Доставка іншого зловмисного програмного забезпечення : бекдори можна використовувати як механізм доставки додаткового зловмисного програмного забезпечення, наприклад програм-вимагачів, шпигунських програм або клавіатурних шпигунів, які можуть спричинити подальшу шкоду та збої.
- Маніпуляції системою та саботаж : зловмисники можуть виконувати команди в зараженій системі, змінюючи конфігурації, видаляючи або пошкоджуючи файли, вимикаючи інструменти безпеки та порушуючи критичні служби. У випадку промислових або державних систем це може призвести до серйозних пошкоджень роботи чи інфраструктури.
- Віддалений моніторинг і контроль : зловмисне програмне забезпечення дозволяє зловмисникам безшумно відстежувати дії, записувати натискання клавіш, робити знімки екрана та реєструвати поведінку користувачів. Цей рівень стеження може поставити під загрозу політику безпеки та дозволити зловмиснику використати вразливі місця без виявлення.
- Підвищення привілеїв : зловмисники часто використовують бекдори, щоб підвищити свої привілеї в системі, надаючи їм повний адміністративний контроль. Це дозволяє їм обходити протоколи безпеки, що робить майже неможливим відновлення контролю для законних користувачів або команд безпеки.
Підсумовуючи, бекдорне зловмисне програмне забезпечення є серйозною загрозою, оскільки воно надає зловмисникам тривалий прихований доступ до систем, дозволяючи їм викрадати дані, поширювати зловмисне програмне забезпечення, маніпулювати операціями та компрометувати цілі мережі, залишаючись при цьому важко виявити та знищити.
