Οι κινεζόφωνοι hackers Earth Lusca χρησιμοποιούν ένα νέο backdoor, που ονομάζεται KTLVdoor, ως μέρος μιας κυβερνοεπίθεσης εναντίον μιας κινεζικής εταιρείας.
Το κακόβουλο λογισμικό είναι γραμμένο σε Golang και, ως εκ τούτου, είναι ένα cross-platform εργαλείο, ικανό να στοχεύει συστήματα Windows και Linux.
Δείτε επίσης: Το Godzilla Fileless Backdoor εκμεταλλεύεται ευπάθεια του Atlassian Confluence
Σύμφωνα με ερευνητές της Trend Micro, το KTLVdoor backdoor μεταμφιέζεται σε βοηθητικά προγράμματα συστήματος και επιτρέπει στους εισβολείς να κάνουν διάφορα πράγματα, όπως χειρισμό αρχείων, εκτέλεση εντολών και απομακρυσμένη σάρωση θυρών. Μερικά από τα εργαλεία που υποδύεται το KTLVdoor, περιλαμβάνουν τα sshd, Java, SQLite, bash και edr-agent. Το malware διανέμεται με τη μορφή dynamic-link library (.dll) ή shared object (.so).
Ίσως το πιο ασυνήθιστο σε αυτή την καμπάνια είναι η ανακάλυψη περισσότερων από 50 command-and-control (C&C) servers, που φιλοξενούνται στην κινεζική εταιρεία Alibaba. Οι ερευνητές έχουν παρατηρήσει ότι επικοινωνούν με διάφορες παραλλαγές κακόβουλου λογισμικού, το οποίο σημαίνει ότι η υποδομή θα μπορούσε να χρησιμοποιείται από διάφορους Κινέζους hackers.
Οι hackers Earth Lusca είναι ενεργοί τουλάχιστον από το 2021 και έχουν στοχεύσει οντότητες τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα σε όλη την Ασία, την Αυστραλία, την Ευρώπη και τη Βόρεια Αμερική.
Δείτε επίσης: Ευπάθεια PHP χρησιμοποιείται για εγκατάσταση του Msupedge backdoor
Το KTLVdoor backdoor φαίνεται να είναι η πιο πρόσφατη προσθήκη στο οπλοστάσιο της κινεζόφωνης ομάδας. Μετά τη μόλυνση, το κακόβουλο λογισμικό ξεκινά την επικοινωνία με τον διακομιστή C&C, αναμένοντας περαιτέρω οδηγίες για εκτέλεση στον παραβιασμένο υπολογιστή. Οι υποστηριζόμενες εντολές του επιτρέπουν να κατεβάσει/ανεβάσει αρχεία, να ελέγξει το σύστημα αρχείων, να εκκινήσει ένα διαδραστικό shell, να εκτελέσει shellcode και να ξεκινήσει τη σάρωση.
Προς το παρόν, δεν γνωρίζουμε πώς διανέμεται το KTLVdoor backdoor και εάν έχει χρησιμοποιηθεί για τη στόχευση και άλλων οντοτήτων, πέρα από την κινεζική εταιρεία.
Προστασία από backdoor
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το KTLVdoor backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Δείτε επίσης: Νέο Windows Backdoor BITSLOTH εκμεταλλεύεται BITS για κρυφή επικοινωνία
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του KTLVdoor backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: thehackernews.com
