KTLVdoor 后门
名为 Earth Lusca 的中文威胁组织被发现在针对中国一家未公开的贸易公司的网络攻击中部署了名为 KTLVdoor 的新后门。这款新发现的恶意软件以 Golang 开发,旨在实现跨平台攻击,同时针对 Microsoft Windows 和 Linux 系统。
KTLVdoor 具有高度混淆功能,可伪装成各种系统实用程序。这允许攻击者执行一系列恶意活动,包括文件操纵、命令执行和远程端口扫描。
目录
冒充合法工具
KTLVdoor 会伪装成多种工具,包括 sshd、Java、SQLite、bash 和 edr-agent 等。该恶意软件以动态链接库 (.dll) 或共享对象 (.so) 的形式分发。
此次活动的一个显著特点是发现了 50 多个命令和控制 (C&C) 服务器,全部由中国公司阿里巴巴托管。这些服务器与各种恶意软件变体有关,表明可能与其他中国威胁行为者共享基础设施。
威胁行为者已经活跃了好几年
Earth Lusca 至少从 2021 年开始活跃,针对亚洲、澳大利亚、欧洲和北美的公共和私营部门机构进行网络攻击。据信该组织与其他入侵组织 RedHotel 和APT27 (也称为 Budworm、Emissary Panda 和 Iron Tiger)在战术上有一些相似之处。
该组织最新的恶意软件 KTLVdoor 经过了高度混淆。它的名字来源于其配置文件中标有“KTLV”的标记,其中包含其运行所需的各种参数,例如它所连接的命令和控制 (C&C) 服务器。
仍有许多未知数
一旦激活,恶意软件就会反复联系命令和控制 (C&C) 服务器,等待进一步的指令在受感染的系统上执行。它支持各种命令,包括下载和上传文件、枚举文件系统、启动交互式 shell、运行 shellcode 以及使用 ScanTCP、ScanRDP、DialTLS、ScanPing 和 ScanWeb 等工具进行扫描。
然而,该恶意软件如何传播以及是否已被用于攻击全球其他目标的细节仍不清楚。
虽然 Earth Lusca 使用了这种新工具,但其他讲中文的威胁行为者也有可能使用它。所有 C&C 服务器都托管在中国供应商阿里巴巴的 IP 地址上,这一事实让研究人员推测,该恶意软件及其 C&C 基础设施可能是新工具早期测试阶段的一部分。
后门威胁使受害者面临严重后果
后门恶意软件会带来严重危险,因为它为攻击者提供了未经授权的秘密访问受感染系统的权限,绕过了正常的安全措施。与后门恶意软件相关的一些最重大威胁包括:
- 持续控制:后门允许攻击者长期访问系统,且通常不会被发现。这种持续访问使攻击者能够持续监控和操纵系统,从而难以消除威胁。
- 数据窃取:攻击者可以获取敏感信息,例如财务数据、知识产权、登录凭据和机密通信。这些获取的数据可能会被出售、用于欺诈或导致进一步的攻击,包括身份盗窃或间谍活动。
- 网络利用:一旦进入,后门恶意软件便可在网络中横向传播,感染其他设备并扩大攻击范围。这可能导致整个网络被攻陷,使攻击者能够同时控制多个系统。
- 传递其他恶意软件:后门可用作其他恶意软件(如勒索软件、间谍软件或键盘记录器)的传递机制,从而造成进一步的损害和破坏。
- 系统操纵和破坏:攻击者可以在受感染的系统上执行命令,更改配置、删除或破坏文件、禁用安全工具以及破坏关键服务。对于工业或政府系统,这可能会导致严重的运营或基础设施损坏。
- 远程监控和控制:后门恶意软件允许攻击者悄悄监控活动、记录击键、捕获屏幕截图和记录用户行为。这种级别的监视可能会破坏安全策略,并允许攻击者利用漏洞而不被发现。
- 权限提升:攻击者经常使用后门来提升他们在系统上的权限,从而获得完全的管理控制权。这使他们能够绕过安全协议,使合法用户或安全团队几乎不可能重新获得控制权。
总之,后门恶意软件是一种严重的威胁,因为它允许攻击者长期、隐藏地访问系统,使他们能够窃取数据、传播恶意软件、操纵操作并危害整个网络,同时难以检测和根除。
