Bilinen bir Çinli tehdit aktörü kullanıyor yeni bir çok platformlu arka kapı sistem yardımcı programlarını veya araçlarını taklit eden ve saldırganların bir kuruluşun ortamı üzerinde tam kontrol sahibi olmasını sağlayan kötü amaçlı yazılım. KTLVdoor olarak adlandırılan kötü amaçlı yazılım, birden fazla aktör tarafından daha fazla saldırının devam ettiğini veya yakın olduğunu ima eden geniş bir arka uç altyapısına bağlıdır.
Trend Micro’daki araştırmacılar keşfetti Çinli aktör Earth Lusca Çin merkezli bir ticaret şirketine saldırıda arka kapıyı kullandıklarını açıkladılar 4 Eylül’de yayınlanan bir blog yazısıGolang dilinde yazılan ve hem Microsoft Windows hem de Linux sürümleri bulunan kötü amaçlı yazılım, genellikle dinamik bağlantı kütüphanesi olarak dağıtılıyor.
Araştırmacılar, şimdiye kadar yalnızca bir saldırıda kullanıldığını görmüş olsalar da, Çinli İSS Alibaba tarafından barındırılan ve yeni kötü amaçlı yazılımın varyantlarıyla iletişim kuran 50’den fazla komuta ve kontrol (C2) sunucusunun bulunduğu göz önüne alındığında, diğer saldırı kampanyalarının da KTLVdoor’dan yararlanacağını tahmin ediyorlar.
Trend Micro tehdit araştırmacıları Cedric Pernet ve Jaromir Horejs gönderide, “Bu kötü amaçlı yazılım örneklerinden bazıları Earth Lusca’ya yüksek bir güvenle bağlı olsa da, tüm altyapının yalnızca bu tehdit aktörü tarafından kullanıldığından emin olamayız,” diye yazdı. “Altyapı, Çince konuşan diğer tehdit aktörleriyle paylaşılabilir.”
Alibaba’dan gelen IP adreslerinin ortak paydası, kötü amaçlı yazılımın birden fazla aktör tarafından erken bir test ve araç aşamasında olabileceğinin kanıtı olabilir. Ancak araştırmacılar, kampanyanın hala bilinmeyen birçok ayrıntısı olduğunu belirtti.
Kötü Amaçlı Yazılımın Temel Özellikleri
KTLVdoor, Earth Lusca (diğer adıyla RedHotel veya TAG-22) tarafından tipik olarak kullanılan araçlardan daha karmaşıktır. Çin destekli siber casusluk Trend Micro’ya göre en az 2019’dan beri aktif olan bir aktör. Earth Lusca genellikle Asya, Latin Amerika ve diğer bölgelerdeki hükümet kuruluşlarını hedef alır ve bir parçası olduğu düşünülür Çinli tehdit aktörlerinin Winnti kolektifiGrubun asıl hedefi genellikle siber casusluk olsa da, zaman zaman finansal kazanç elde etmek için kripto para birimlerini ve kumar şirketlerini de hedef aldığı oldu.
Trend Micro, arka kapının çeşitli örneklerinin izlerini örtmek için çok çalıştığını keşfetti; araştırmacılar, aslında bunların yapılandırılması ve iletişiminin, kötü amaçlı yazılımın analiz edilmesini zorlaştırmak için karmaşık şifreleme ve karartma tekniklerini içerdiğini söyledi.
“Gömülü dizeler doğrudan okunamıyor, semboller silinmiş ve çoğu fonksiyon ve paket, geliştiricilerin kötü amaçlı yazılım analizini yavaşlatma çabasının açık bir sonucu olarak rastgele Base64 benzeri görünen dizelerle yeniden adlandırılmış,” diye yazmışlar gönderide.
Hedeflenen bir ortamda, KTLVdoor farklı sistem yardımcı programları veya benzer araçlar (örneğin sshd, java, sqlite, bash, edr-agent ve daha fazlası) gibi görünür ve saldırganların ortamı tamamen kontrol etmek için çeşitli görevler gerçekleştirmesine olanak tanır. Bunlar arasında komutları çalıştırma, dosyaları yönetme, sistem ve ağ bilgileri sağlama, proxy’leri kullanma, dosyaları indirme/yükleme ve uzak bağlantı noktalarını tarama gibi diğer yetenekler bulunur.
Kötü amaçlı yazılım, hem sıkıştırılmış hem de şifrelenmiş mesajları gönderip alarak çeşitli C2 sunucularıyla bir döngü içinde iletişim kurar. Araştırmacılar, yapılandırma ayarlarına göre, mesaj iletiminin ya simpleks modunda (bir cihaz yalnızca gönderebilir ve diğer cihaz yalnızca alabilir) ya da her iki cihazın aynı anda mesaj gönderip alabileceği dupleks modunda olabileceğini belirtti.
Tespit Etme ve Savunma
Kötü amaçlı yazılım yaratıcılarının analiz ve tespitten kaçınmak için gösterdikleri özen nedeniyle, Earth Lusca veya diğer Çin APT’leri Araştırmacılar, henüz tanımlanmamış bir kötü amaçlı yazılımın neden olabileceği herhangi bir tehlikeye karşı dikkatli olunması gerektiğini söyledi.
Gönderide, Earth Lusca ve KTLVdoor için kapsamlı bir tehlike göstergeleri (IOC’ler) listesi, kampanyaya bağlı IP adresleri ve karmaları ve ayrıca bir DLL şifre çözücüsü yer aldı. Tehdit aktörü.
Araştırmacılar, kuruluşların ayrıca, kötü amaçlı araçları ve hizmetleri bir ortama sızmadan önce engellemek için çok katmanlı bir yaklaşım ve proaktif tespit kullanan güvenlik platformları aracılığıyla kendilerini karmaşık APT saldırılarına karşı koruyabileceklerini belirtti.