„KTLVdoor Backdoor“ skirta kelioms skirtingoms platformoms

Kenkėjiški veikėjai nuolat kuria naujus kibernetinius įrankius ir taktiką, kad galėtų pasiekti jautrias sistemas. Vienas iš tokių priemonių, kurios atsidūrė dėmesio centre, yra KTLVdoor, slaptos užpakalinės durys, naudojamos kibernetinėse grėsmių grupės „Earth Lusca“ atakose. Ši kenkėjiška programa yra ypač susirūpinusi dėl jos kelių platformų galimybių ir sudėtingų užmaskavimo metodų, leidžiančių išvengti aptikimo ir sukelti sumaištį „Windows“ ir „Linux“ aplinkoje.

Kas yra KTLVdoor?

KTLVdoor yra užpakalinės durys, kenkėjiškų programų tipas, skirtas apeiti standartines autentifikavimo procedūras ir suteikti užpuolikams neteisėtą prieigą prie užkrėstų sistemų. Skirtingai nuo daugelio užpakalinių durų, KTLVdoor yra labai universalus, nes parašyta Golang – programavimo kalba, leidžiančia veikti keliose operacinėse sistemose. Nesvarbu, ar tai būtų „Windows“, ar „Linux“, KTLVdoor gali rasti kelią į sistemą, užmaskuodamas save kaip teisėtą sistemos įrankį, kad nesukeltų įtarimų.

Pavadinimas „KTLVdoor“ yra kilęs iš žymeklio „KTLV“, esančio jo konfigūracijos faile, kuriame yra pagrindinės informacijos, pvz., komandų ir valdymo (C&C) serveriai, prie kurių jungiasi kenkėjiška programa. Kai kenkėjiška programa įdiegiama sistemoje, ji nuolat bendrauja su šiais serveriais ir laukia operatoriaus nurodymų. Dėl tokio atkaklumo jis yra pavojingas ilgalaikio išnaudojimo įrankis.

Ką veikia KTLVdoor?

Įdiegta KTLVdoor suteikia užpuolikams visišką pažeistos sistemos kontrolę. Jis gali vykdyti komandas, manipuliuoti failais ir netgi nuskaityti tinklą ir ieškoti kitų tikslų. Kenkėjiška programa yra labai užmaskuota, o tai reiškia, kad ji slepia savo tikrąją paskirtį, imituodama įvairius sistemos įrankius, tokius kaip SSH, Java, SQLite ir net saugos priemones, tokias kaip EDR (galutinio taško aptikimo ir atsako) agentai. Toks užmaskavimo lygis padeda jai likti nepastebėtai ilgesnį laiką.

Kai kurios konkrečios užduotys, kurias gali atlikti KTLVdoor, yra šios:

• Failų tvarkymas : užpuolikai gali įkelti ir atsisiųsti failus, leisdami pavogti neskelbtinus duomenis arba įdiegti papildomų kenkėjiškų programų.
• Komandų vykdymas : kenkėjiška programa gali vykdyti komandas užkrėstame kompiuteryje, todėl užpuolikai gali visiškai valdyti sistemą.
• Interaktyvus apvalkalas : atveria komandų eilutės sąsają, per kurią užpuolikas gali valdyti sistemą realiuoju laiku.
• Tinklo nuskaitymas : KTLVdoor gali ištirti tinklą, nuskaityti pažeidžiamumą ir nustatyti kitus įrenginius, į kuriuos galima nukreipti.

Bene labiausiai nerimą kelianti funkcija yra tai, kad naudojama daugiau nei 50 C&C serverių, kuriuos visus priglobia „Alibaba“, pagrindinis Kinijos debesų paslaugų teikėjas. Šie serveriai palengvina ryšį tarp kenkėjiškos programos ir jos operatorių, įgalindami nuolatinę sąveiką nekeldami per daug raudonų vėliavėlių. Tyrėjai spėja, kad tai gali reikšti bendradarbiavimą su kitomis grėsmių grupėmis arba būti nuolatinio naujų kenkėjiškų programų testavimo etapo dalimi.

Kas yra už KTLVdoor?

„Earth Lusca“, grupė, atsakinga už KTLVdoor dislokavimą, yra gerai žinoma kibernetinio šnipinėjimo veikėja. Jie buvo aktyvūs mažiausiai nuo 2021 m. ir buvo siejami su išpuoliais įvairiuose sektoriuose, nukreiptais į viešuosius ir privačius subjektus Azijoje, Europoje, Australijoje ir Šiaurės Amerikoje. Nors atrodo, kad jų pagrindinis dėmesys skiriamas šnipinėjimui, KTLVdoor naudojimas rodo norą eksperimentuoti su naujais įrankiais ir technikomis.

Žemės Lusca taktinis sutapimas su kitomis pažangiosiomis nuolatinės grėsmės (APT) grupėmis, tokiomis kaip APT27 (taip pat žinomas kaip Budworm, Emissary Panda ir Iron Tiger), daro ją ypač pavojingą. Šios grupės žinomos dėl sudėtingų išpuolių, kurių tikslas – ilgalaikė infiltracija, dažnai siejami su geopolitiniais motyvais.

Kaip apsisaugoti nuo KTLVdoor

Nors KTLVdoor yra sudėtinga kenkėjiškų programų dalis, galite imtis veiksmų, kad sumažintumėte užsikrėtimo riziką ir apsaugotumėte savo sistemas:

1. Reguliarūs programinės įrangos atnaujinimai : visada atnaujinkite operacines sistemas ir programas. Daugelis kenkėjiškų programų padermių, įskaitant KTLVdoor, išnaudoja pasenusios programinės įrangos pažeidžiamumą, kad gautų prieigą prie sistemų.
2. Tinklo stebėjimas : būkite budrūs dėl tinklo srauto. Tokie įrankiai kaip įsibrovimo aptikimo sistemos (IDS) gali padėti pastebėti neįprastą veiklą, pvz., ryšį su žinomais C&C serveriais. KTLVdoor atveju išeinančio srauto į Alibaba priglobtus IP adresus stebėjimas galėtų būti naudinga apsauga.
3. Failų vientisumo stebėjimas : kadangi KTLVdoor slepiasi kaip teisėta sistemos priemonė, labai svarbu stebėti šių failų vientisumą. Bet kokie netikėti svarbių sistemos failų pakeitimai gali reikšti kenkėjiškų programų užkrėtimą.
4. Daugiafaktorinis autentifikavimas (MFA) : Įdiekite MFA visiems nuotolinės prieigos taškams. Nors KTLVdoor gali apeiti kai kurias autentifikavimo procedūras, MFA prideda papildomą saugumo lygį, todėl užpuolikams sunkiau valdyti jūsų sistemą.
5. Vartotojo švietimas : daugelis kibernetinių atakų prasideda socialine inžinerija arba sukčiavimo bandymais. Įsitikinkite, kad jūsų darbuotojai ar naudotojai yra išmokyti atpažinti įtartinus el. laiškus, nuorodas ar priedus.

„KTLVdoor“ ateitis

Kol kas neaišku, ar KTLVdoor aktyviai naudojamas didelio masto atakoms, ar jos galimybės vis dar tobulinamos. Tačiau, atsižvelgiant į „Earth Lusca“ patirtį ir sudėtingą kenkėjiškos programos dizainą, tikėtina, kad ateityje pamatysime daugiau „KTLVdoor“. Ar tai lieka išskirtiniu „Earth Lusca“ įrankiu, ar juo dalinamasi su kitais grėsmės veikėjais, dar reikia pamatyti.

Bet kokiu atveju svarbiausia yra budrumas. Suprasti, kaip veikia šie kenkėjiški įrankiai, ir imtis aktyvių veiksmų, kad apsaugotumėte savo sistemas, svarbu neatsilikti nuo kreivės, kai kibernetinės grėsmės ir toliau vystosi. KTLVdoor yra priminimas, kad skaitmeninis kraštovaizdis yra kupinas pavojų, bet jūs galite žymiai sumažinti riziką, jei imatės tinkamų atsargumo priemonių.