Cửa sau KTLVdoor

Nhóm đe dọa nói tiếng Trung Quốc có tên là Earth Lusca đã bị phát hiện triển khai một backdoor mới có tên là KTLVdoor trong một cuộc tấn công mạng nhằm vào một công ty thương mại không được tiết lộ tại Trung Quốc. Phần mềm độc hại mới được phát hiện này, được phát triển trong Golang, được thiết kế để hoạt động trên nhiều nền tảng, nhắm vào cả hệ thống Microsoft Windows và Linux.

KTLVdoor có tính năng che giấu mạnh mẽ và ngụy trang thành nhiều tiện ích hệ thống khác nhau. Điều này cho phép kẻ tấn công thực hiện nhiều hoạt động độc hại, bao gồm thao tác tệp, thực thi lệnh và quét cổng từ xa.

Mạo danh các công cụ hợp pháp

KTLVdoor ngụy trang thành một số công cụ, bao gồm sshd, Java, SQLite, bash và edr-agent, cùng nhiều công cụ khác. Phần mềm độc hại được phân phối dưới dạng thư viện liên kết động (.dll) hoặc đối tượng được chia sẻ (.so).

Một khía cạnh đáng chú ý của hoạt động này là việc xác định hơn 50 máy chủ Command-and-Control (C&C), tất cả đều do công ty Alibaba của Trung Quốc lưu trữ. Các máy chủ này đã được liên kết với nhiều biến thể phần mềm độc hại khác nhau, cho thấy khả năng chia sẻ cơ sở hạ tầng với các tác nhân đe dọa khác của Trung Quốc.

Các tác nhân đe dọa đã hoạt động trong nhiều năm

Earth Lusca đã hoạt động ít nhất từ năm 2021, thực hiện các cuộc tấn công mạng nhắm vào cả các tổ chức công và tư trên khắp Châu Á, Úc, Châu Âu và Bắc Mỹ. Nhóm này được cho là có một số điểm tương đồng về mặt chiến thuật với các nhóm xâm nhập khác được gọi là RedHotel và APT27 (còn được gọi là Budworm, Emissary Panda và Iron Tiger).

Phần mềm độc hại mới nhất của nhóm, KTLVdoor, được che giấu rất kỹ. Nó lấy tên từ một dấu hiệu có nhãn 'KTLV' được tìm thấy trong tệp cấu hình của nó, bao gồm nhiều tham số cần thiết cho hoạt động của nó, chẳng hạn như máy chủ Command-and-Control (C&C) mà nó kết nối đến.

Vẫn còn nhiều điều chưa biết

Sau khi được kích hoạt, phần mềm độc hại liên tục liên lạc với máy chủ Command-and-Control (C&C), chờ các hướng dẫn tiếp theo để thực thi trên hệ thống bị xâm phạm. Nó hỗ trợ nhiều lệnh khác nhau, bao gồm tải xuống và tải lên tệp, liệt kê hệ thống tệp, khởi chạy shell tương tác, chạy shellcode và thực hiện quét bằng các công cụ như ScanTCP, ScanRDP, DialTLS, ScanPing và ScanWeb, cùng nhiều công cụ khác.

Tuy nhiên, thông tin chi tiết về cách phân phối phần mềm độc hại và liệu nó có được sử dụng để tấn công các mục tiêu khác trên toàn thế giới hay không vẫn chưa rõ ràng.

Trong khi Earth Lusca sử dụng công cụ mới này, có khả năng nó cũng có thể được sử dụng bởi các tác nhân đe dọa nói tiếng Trung Quốc khác. Thực tế là tất cả các máy chủ C&C đều được lưu trữ trên các địa chỉ IP từ Alibaba, một nhà cung cấp Trung Quốc, đã khiến các nhà nghiên cứu suy đoán rằng phần mềm độc hại và cơ sở hạ tầng C&C của nó có thể là một phần của giai đoạn thử nghiệm ban đầu cho các công cụ mới.

Các mối đe dọa cửa sau khiến nạn nhân phải chịu hậu quả nghiêm trọng

Phần mềm độc hại cửa sau gây ra những mối nguy hiểm nghiêm trọng vì nó cung cấp cho kẻ tấn công quyền truy cập trái phép, bí mật vào các hệ thống bị xâm phạm, bỏ qua các biện pháp bảo mật thông thường. Một số mối đe dọa quan trọng nhất liên quan đến phần mềm độc hại cửa sau bao gồm:

• Kiểm soát liên tục : Backdoor cho phép kẻ tấn công duy trì quyền truy cập lâu dài vào hệ thống, thường không bị phát hiện. Quyền truy cập liên tục này cho phép kẻ tấn công liên tục theo dõi và thao túng hệ thống theo thời gian, khiến việc loại bỏ mối đe dọa trở nên khó khăn.
• Trộm cắp dữ liệu : Kẻ tấn công có thể thu thập thông tin nhạy cảm như dữ liệu tài chính, sở hữu trí tuệ, thông tin đăng nhập và thông tin liên lạc bí mật. Dữ liệu thu thập được này có thể được bán, sử dụng cho mục đích gian lận hoặc dẫn đến các cuộc tấn công tiếp theo, bao gồm cả trộm cắp danh tính hoặc gián điệp.
• Khai thác mạng : Khi đã xâm nhập, phần mềm độc hại backdoor có thể lây lan theo chiều ngang trên mạng, lây nhiễm các thiết bị khác và mở rộng phạm vi tấn công. Điều này có thể dẫn đến xâm phạm toàn bộ mạng, cho phép kẻ tấn công kiểm soát nhiều hệ thống cùng lúc.
• Phát tán phần mềm độc hại khác : Backdoor có thể được sử dụng như một cơ chế phát tán phần mềm độc hại khác, chẳng hạn như phần mềm tống tiền, phần mềm gián điệp hoặc phần mềm ghi lại phím, có thể gây ra thêm thiệt hại và gián đoạn.
• Thao túng và phá hoại hệ thống : Kẻ tấn công có thể thực hiện lệnh trên hệ thống bị nhiễm, thay đổi cấu hình, xóa hoặc làm hỏng tệp, vô hiệu hóa các công cụ bảo mật và phá vỡ các dịch vụ quan trọng. Trong trường hợp hệ thống công nghiệp hoặc chính phủ, điều này có thể dẫn đến thiệt hại nghiêm trọng về hoạt động hoặc cơ sở hạ tầng.
• Giám sát và kiểm soát từ xa : Phần mềm độc hại cửa sau cho phép kẻ tấn công âm thầm theo dõi các hoạt động, ghi lại các lần nhấn phím, chụp ảnh màn hình và ghi lại hành vi của người dùng. Mức độ giám sát này có thể xâm phạm chính sách bảo mật và cho phép kẻ tấn công khai thác lỗ hổng mà không bị phát hiện.
• Tăng quyền : Kẻ tấn công thường sử dụng backdoor để tăng quyền trên hệ thống, trao cho chúng toàn quyền kiểm soát hành chính. Điều này cho phép chúng bỏ qua các giao thức bảo mật, khiến người dùng hợp pháp hoặc nhóm bảo mật gần như không thể lấy lại quyền kiểm soát.

Tóm lại, phần mềm độc hại cửa sau là mối đe dọa nghiêm trọng vì nó cấp cho kẻ tấn công quyền truy cập ẩn trong thời gian dài vào hệ thống, cho phép chúng đánh cắp dữ liệu, phát tán phần mềm độc hại, thao túng hoạt động và xâm phạm toàn bộ mạng, trong khi vẫn khó bị phát hiện và loại bỏ.