KTLVdoor Hintertür
Die chinesischsprachige Bedrohungsgruppe Earth Lusca wurde dabei entdeckt, wie sie bei einem Cyberangriff auf ein nicht genanntes Handelsunternehmen in China eine neue Hintertür namens KTLVdoor einsetzte. Diese neu entdeckte, in Golang entwickelte Malware ist plattformübergreifend konzipiert und zielt sowohl auf Microsoft Windows- als auch auf Linux-Systeme ab.
KTLVdoor bietet eine starke Verschleierung und tarnt sich als verschiedene Systemdienstprogramme. Dies ermöglicht Angreifern eine Reihe bösartiger Aktivitäten, darunter Dateimanipulation, Befehlsausführung und Remote-Port-Scanning.
Inhaltsverzeichnis
Nachahmung legitimer Tools
KTLVdoor tarnt sich als verschiedene Tools, darunter sshd, Java, SQLite, bash und edr-agent. Die Malware wird entweder als Dynamic Link Library (.dll) oder als Shared Object (.so) verteilt.
Ein bemerkenswerter Aspekt dieser Aktivität ist die Identifizierung von über 50 Command-and-Control-Servern (C&C), die alle vom chinesischen Unternehmen Alibaba gehostet werden. Diese Server wurden mit verschiedenen Malware-Varianten in Verbindung gebracht, was darauf hindeutet, dass die Infrastruktur möglicherweise mit anderen chinesischen Bedrohungsakteuren gemeinsam genutzt wird.
Bedrohungsakteure sind seit mehreren Jahren aktiv
The Earth Lusca ist seit mindestens 2021 aktiv und führt Cyberangriffe auf öffentliche und private Institutionen in Asien, Australien, Europa und Nordamerika durch. Es wird angenommen, dass die Gruppe einige taktische Ähnlichkeiten mit anderen Intrusion-Sets aufweist, die als RedHotel und APT27 (auch als Budworm, Emissary Panda und Iron Tiger bezeichnet) bekannt sind.
Die neueste Malware der Gruppe, KTLVdoor, ist stark verschleiert. Sie leitet ihren Namen von einem Marker mit der Bezeichnung „KTLV“ ab, der sich in ihrer Konfigurationsdatei befindet. Diese enthält verschiedene für ihre Operationen erforderliche Parameter, wie etwa die Command-and-Control-Server (C&C), mit denen sie sich verbindet.
Vieles ist noch unbekannt
Nach der Aktivierung kontaktiert die Malware wiederholt den Command-and-Control-Server (C&C) und wartet auf weitere Anweisungen zur Ausführung auf dem angegriffenen System. Sie unterstützt verschiedene Befehle, darunter das Herunterladen und Hochladen von Dateien, das Auflisten des Dateisystems, das Starten einer interaktiven Shell, das Ausführen von Shellcode und das Durchführen von Scans mit Tools wie ScanTCP, ScanRDP, DialTLS, ScanPing und ScanWeb.
Allerdings sind Einzelheiten zur Verbreitung der Schadsoftware und dazu, ob sie weltweit auch gegen andere Ziele eingesetzt wurde, weiterhin unklar.
Obwohl Earth Lusca dieses neue Tool einsetzt, besteht die Möglichkeit, dass es auch von anderen chinesischsprachigen Bedrohungsakteuren verwendet wird. Die Tatsache, dass alle C&C-Server auf IP-Adressen des chinesischen Anbieters Alibaba gehostet wurden, hat Forscher zu der Spekulation veranlasst, dass die Malware und ihre C&C-Infrastruktur Teil einer frühen Testphase für neue Tools sein könnten.
Backdoor-Bedrohungen setzen Opfer schwerwiegenden Konsequenzen aus
Backdoor-Malware stellt eine ernste Gefahr dar, da sie Angreifern unbefugten, verdeckten Zugriff auf kompromittierte Systeme ermöglicht und dabei normale Sicherheitsmaßnahmen umgeht. Zu den größten Bedrohungen im Zusammenhang mit Backdoor-Malware zählen:
- Dauerhafte Kontrolle : Hintertüren ermöglichen Angreifern, langfristig und oft unentdeckt auf ein System zuzugreifen. Dieser dauerhafte Zugriff ermöglicht es Angreifern, das System über einen längeren Zeitraum hinweg kontinuierlich zu überwachen und zu manipulieren, was es schwierig macht, die Bedrohung zu beseitigen.
- Datendiebstahl : Angreifer können sensible Informationen wie Finanzdaten, geistiges Eigentum, Anmeldeinformationen und vertrauliche Kommunikation abgreifen. Die so gesammelten Daten können verkauft, für Betrugszwecke verwendet oder zu weiteren Angriffen, darunter Identitätsdiebstahl oder Spionage, führen.
- Netzwerkausnutzung : Ist eine Backdoor-Malware erst einmal im Netzwerk, kann sie sich seitlich im Netzwerk ausbreiten, andere Geräte infizieren und den Umfang des Angriffs erweitern. Dies kann zu einer vollständigen Kompromittierung des Netzwerks führen, sodass Angreifer mehrere Systeme gleichzeitig steuern können.
- Verbreitung anderer Schadsoftware : Hintertüren können als Verbreitungsmechanismus für weitere Schadsoftware wie Ransomware, Spyware oder Keylogger verwendet werden, die weiteren Schaden und Störungen verursachen können.
- Systemmanipulation und Sabotage : Angreifer können Befehle auf dem infizierten System ausführen, Konfigurationen ändern, Dateien löschen oder beschädigen, Sicherheitstools deaktivieren und kritische Dienste stören. Bei industriellen oder staatlichen Systemen kann dies zu schweren Betriebs- oder Infrastrukturschäden führen.
- Fernüberwachung und -steuerung : Backdoor-Malware ermöglicht es Angreifern, Aktivitäten unbemerkt zu überwachen, Tastatureingaben aufzuzeichnen, Screenshots zu machen und das Benutzerverhalten zu protokollieren. Diese Art der Überwachung kann Sicherheitsrichtlinien gefährden und es Angreifern ermöglichen, Schwachstellen unbemerkt auszunutzen.
- Rechteerweiterung : Angreifer nutzen häufig Hintertüren, um ihre Rechte auf einem System zu erweitern und sich so die volle administrative Kontrolle zu verschaffen. Auf diese Weise können sie Sicherheitsprotokolle umgehen und es ist für legitime Benutzer oder Sicherheitsteams nahezu unmöglich, die Kontrolle zurückzuerlangen.
Zusammenfassend lässt sich sagen, dass Backdoor-Malware eine ernste Bedrohung darstellt, da sie Angreifern langfristigen, versteckten Zugriff auf Systeme gewährt und es ihnen ermöglicht, Daten zu stehlen, Malware zu verbreiten, Vorgänge zu manipulieren und ganze Netzwerke zu kompromittieren. Dabei ist sie schwer zu erkennen und zu beseitigen.
