KTLVdoor後門
被稱為 Earth Lusca 的中文威脅組織被發現部署了一個名為 KTLVdoor 的新後門,對中國一家未公開的貿易公司進行網路攻擊。這種新發現的惡意軟體是用 Golang 開發的,旨在跨平台,同時針對 Microsoft Windows 和 Linux 系統。
KTLVdoor 具有嚴重的混淆功能,並將自身偽裝成各種系統實用程式。這使得攻擊者能夠執行一系列惡意活動,包括檔案操作、命令執行和遠端連接埠掃描。
目錄
冒充合法工具
KTLVdoor 偽裝成多種工具,包括 sshd、Java、SQLite、bash 和 edr-agent 等。此惡意軟體以動態連結程式庫 (.dll) 或共享物件 (.so) 的形式分發。
此活動的一個值得注意的方面是識別了 50 多個命令與控制 (C&C) 伺服器,這些伺服器全部由中國公司阿里巴巴託管。這些伺服器已與各種惡意軟體變體相關聯,這表明有可能與其他中國威脅行為者共享基礎設施。
威脅行為者已活躍多年
Earth Lusca 至少自 2021 年以來一直活躍,針對亞洲、澳洲、歐洲和北美的公共和私營部門機構進行網路攻擊。據信,該組織與 RedHotel 和APT27 (也稱為 Budworm、Emissary Panda 和 Iron Tiger)等其他入侵組織在戰術上有一些相似之處。
該組織的最新惡意軟體 KTLVdoor 已被高度混淆。它的名稱源自於其設定檔中標有「KTLV」的標記,其中包括其操作所需的各種參數,例如它連接到的命令與控制 (C&C) 伺服器。
仍有許多未知數
一旦激活,惡意軟體就會反覆聯繫命令與控制 (C&C) 伺服器,等待在受感染系統上執行進一步的指令。它支援各種命令,包括下載和上傳檔案、枚舉檔案系統、啟動互動式 shell、執行 shellcode 以及使用 ScanTCP、ScanRDP、DialTLS、ScanPing 和 ScanWeb 等工具進行掃描。
然而,有關該惡意軟體如何分發以及它是否已被用於攻擊全球其他目標的詳細資訊仍不清楚。
雖然地球盧斯卡使用了這個新工具,但其他說中文的威脅行為者也有可能使用它。事實上,所有 C&C 伺服器都託管在中國供應商阿里巴巴的 IP 位址上,研究人員推測該惡意軟體及其 C&C 基礎設施可能是新工具早期測試階段的一部分。
後門威脅使受害者面臨嚴重後果
後門惡意軟體會帶來嚴重的危險,因為它為攻擊者提供了對受感染系統的未經授權的秘密訪問,繞過了正常的安全措施。與後門惡意軟體相關的一些最重要的威脅包括:
- 持久控制:後門允許攻擊者保持對系統的長期訪問,而通常不被發現。這種持久訪問使攻擊者能夠隨著時間的推移持續監視和操縱系統,從而難以消除威脅。
- 資料竊取:攻擊者可以獲得敏感資訊,例如財務資料、智慧財產權、登入憑證和機密通訊。這些收集到的資料可以出售、用於詐欺或導致進一步的攻擊,包括身分盜竊或間諜活動。
- 網路利用:後門惡意軟體一旦進入內部,就可以在網路中橫向傳播,感染其他裝置並擴大攻擊範圍。這可能會導致整個網路遭到破壞,從而使攻擊者能夠同時控制多個系統。
- 其他惡意軟體的傳遞:後門可用作其他惡意軟體的傳遞機制,例如勒索軟體、間諜軟體或鍵盤記錄程序,這可能會造成進一步的損害和破壞。
- 系統操縱和破壞:攻擊者可以在受感染的系統上執行命令、更改配置、刪除或損壞檔案、停用安全工具以及中斷關鍵服務。對於工業或政府系統,這可能會導致嚴重的營運或基礎設施損壞。
- 遠端監控與控制:後門惡意軟體可讓攻擊者悄悄監控活動、記錄按鍵、擷取螢幕截圖並記錄使用者行為。這種程度的監視可能會損害安全策略,並允許攻擊者在不被發現的情況下利用漏洞。
- 權限升級:攻擊者經常使用後門來升級他們在系統上的權限,從而獲得完全的管理控制權。這使得他們能夠繞過安全協議,使合法用戶或安全團隊幾乎不可能重新獲得控制權。
總而言之,後門惡意軟體是一種嚴重的威脅,因為它為攻擊者提供了對系統的長期、隱藏的存取權限,使他們能夠竊取資料、傳播惡意軟體、操縱操作並危害整個網絡,同時仍然難以檢測和根除。
