Малоизученный вредонос не оставляет шанса специалистам на изучение.
Специалисты Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся новый мультиплатформенный бэкдор KTLVdoor китайской группировки Earth Lusca. KTLVdoor разработан на Golang и имеет версии для Windows и Linux.
Ранее неизвестный вредоносный софт значительно сложнее, чем инструменты, которые обычно использует Earth Lusca. Вирус отличается высокой степенью обфускации и распространяется под именами, похожими на системные утилиты, например, sshd, java, sqlite, bash и другие. Основное назначение KTLVdoor – это предоставление полного контроля над зараженной системой. Бэкдор, помимо прочего, позволяет выполнять команды, манипулировать файлами, собирать системную и сетевую информацию, загружать и выгружать файлы, а также сканировать удаленные порты.
Исследователям удалось обнаружить более 50 серверов управления и контроля ( C2 ), которые взаимодействуют с различными версиями KTLVdoor. Все серверы расположены на китайской платформе Alibaba. Несмотря на то, что часть из обнаруженных образцов KTLVdoor явно связана с группой Earth Lusca, не исключено, что инфраструктура может использоваться и другими киберпреступниками, говорящими на китайском языке.
На данный момент удалось установить одного пострадавшего — торговую компанию из Китая. Это не первый случай, когда китайские хакеры нацеливаются на компании своей страны. Аналогичные инциденты наблюдались с участием других известных групп, таких как Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся
Большая часть образцов KTLVdoor обфусцирована: строки и символы закодированы и не поддаются прямому прочтению. Вредоносное ПО намеренно запутано для того, чтобы затруднить анализ. Конфигурация вируса хранится в специальном формате TLV, где указаны параметры и их значения, включая режим работы, данные о C2-серверах, прокси-сервера, используемые протоколы (HTTP, TCP и т.д.).
После активации конфигурации вирус начинает взаимодействие с C2-серверами, отправляя и получая зашифрованные сообщения. В зависимости от настроек, коммуникация может происходить как в режиме simplex (односторонняя передача данных), так и в режиме duplex (двусторонняя передача).
Среди обнаруженных функций вируса – загрузка и скачивание файлов, сканирование портов, сбор информации о системе, управление процессами, а также работа с прокси-серверами. Вредоносная программа позволяет не только контролировать зараженные устройства, но и выполнять на них различные команды.
Исследователи отметили, что, несмотря на явные признаки связи с группой Earth Lusca, не все образцы вируса можно однозначно привязать к группе. Размер инфраструктуры и количество задействованных серверов нетипичны для подобных атак. Возможно, это часть тестирования нового инструментария или же его распространения среди других хакерских группировок.
Специалисты Trend Micro Для просмотра ссылки Войди
Ранее неизвестный вредоносный софт значительно сложнее, чем инструменты, которые обычно использует Earth Lusca. Вирус отличается высокой степенью обфускации и распространяется под именами, похожими на системные утилиты, например, sshd, java, sqlite, bash и другие. Основное назначение KTLVdoor – это предоставление полного контроля над зараженной системой. Бэкдор, помимо прочего, позволяет выполнять команды, манипулировать файлами, собирать системную и сетевую информацию, загружать и выгружать файлы, а также сканировать удаленные порты.
Исследователям удалось обнаружить более 50 серверов управления и контроля ( C2 ), которые взаимодействуют с различными версиями KTLVdoor. Все серверы расположены на китайской платформе Alibaba. Несмотря на то, что часть из обнаруженных образцов KTLVdoor явно связана с группой Earth Lusca, не исключено, что инфраструктура может использоваться и другими киберпреступниками, говорящими на китайском языке.
На данный момент удалось установить одного пострадавшего — торговую компанию из Китая. Это не первый случай, когда китайские хакеры нацеливаются на компании своей страны. Аналогичные инциденты наблюдались с участием других известных групп, таких как Для просмотра ссылки Войди
Большая часть образцов KTLVdoor обфусцирована: строки и символы закодированы и не поддаются прямому прочтению. Вредоносное ПО намеренно запутано для того, чтобы затруднить анализ. Конфигурация вируса хранится в специальном формате TLV, где указаны параметры и их значения, включая режим работы, данные о C2-серверах, прокси-сервера, используемые протоколы (HTTP, TCP и т.д.).
После активации конфигурации вирус начинает взаимодействие с C2-серверами, отправляя и получая зашифрованные сообщения. В зависимости от настроек, коммуникация может происходить как в режиме simplex (односторонняя передача данных), так и в режиме duplex (двусторонняя передача).
Среди обнаруженных функций вируса – загрузка и скачивание файлов, сканирование портов, сбор информации о системе, управление процессами, а также работа с прокси-серверами. Вредоносная программа позволяет не только контролировать зараженные устройства, но и выполнять на них различные команды.
Исследователи отметили, что, несмотря на явные признаки связи с группой Earth Lusca, не все образцы вируса можно однозначно привязать к группе. Размер инфраструктуры и количество задействованных серверов нетипичны для подобных атак. Возможно, это часть тестирования нового инструментария или же его распространения среди других хакерских группировок.
- Источник новости
- www.securitylab.ru