KTLVdoor バックドア
Earth Lusca として知られる中国語圏の脅威グループが、中国の非公開の貿易会社に対するサイバー攻撃で KTLVdoor と呼ばれる新しいバックドアを展開していることが検出されました。この新たに発見されたマルウェアは Golang で開発されており、クロスプラットフォームとして設計されており、Microsoft Windows と Linux システムの両方をターゲットにしています。
KTLVdoor は高度な難読化が施されており、さまざまなシステム ユーティリティに偽装します。これにより、攻撃者はファイル操作、コマンド実行、リモート ポート スキャンなど、さまざまな悪意のあるアクティビティを実行できます。
目次
正規のツールを偽装する
KTLVdoor は、sshd、Java、SQLite、bash、edr-agent など、さまざまなツールを装います。このマルウェアは、ダイナミック リンク ライブラリ (.dll) または共有オブジェクト (.so) として配布されます。
この活動の注目すべき点は、すべて中国企業 Alibaba がホストする 50 台以上のコマンド アンド コントロール (C&C) サーバーが特定されたことです。これらのサーバーはさまざまなマルウェアの亜種にリンクされており、他の中国の脅威アクターとインフラストラクチャを共有している可能性があることを示唆しています。
脅威アクターは数年にわたって活動している
Earth Lusca は少なくとも 2021 年から活動しており、アジア、オーストラリア、ヨーロッパ、北米の公共機関と民間機関の両方を標的としたサイバー攻撃を実行しています。このグループは、RedHotel やAPT27 (Budworm、Emissary Panda、Iron Tiger とも呼ばれる) として知られる他の侵入グループと戦術的に類似していると考えられています。
このグループの最新のマルウェアである KTLVdoor は、高度に難読化されています。このマルウェアの名前は、接続先のコマンド アンド コントロール (C&C) サーバーなど、動作に必要なさまざまなパラメータを含む構成ファイルにある「KTLV」というマーカーに由来しています。
まだ多くの未知数が残っている
マルウェアは起動すると、コマンド アンド コントロール (C&C) サーバーに繰り返し接続し、侵害されたシステムで実行するためのさらなる指示を待ちます。ファイルのダウンロードとアップロード、ファイル システムの列挙、対話型シェルの起動、シェルコードの実行、ScanTCP、ScanRDP、DialTLS、ScanPing、ScanWeb などのツールを使用したスキャンの実行など、さまざまなコマンドをサポートしています。
しかし、このマルウェアがどのように配布されたのか、また世界中の他の標的に対して使用されたのかどうかについての詳細は不明のままである。
Earth Lusca はこの新しいツールを使用していますが、他の中国語圏の脅威アクターによっても使用される可能性があります。すべての C&C サーバーが中国のプロバイダーである Alibaba の IP アドレスでホストされていたという事実から、研究者は、このマルウェアとその C&C インフラストラクチャが新しいツールの初期テスト段階の一部である可能性があると推測しています。
バックドアの脅威は被害者を深刻な結果にさらす
バックドア マルウェアは、通常のセキュリティ対策を回避して、侵入先のシステムへの不正な秘密アクセスを攻撃者に提供するため、深刻な危険をもたらします。バックドア マルウェアに関連する最も重大な脅威には、次のようなものがあります。
- 永続的な制御: バックドアにより、攻撃者はシステムへの長期的なアクセスを維持でき、多くの場合、検出されません。この永続的なアクセスにより、攻撃者は長期間にわたってシステムを継続的に監視および操作できるため、脅威を除去することが困難になります。
- データ盗難: 攻撃者は、財務データ、知的財産、ログイン認証情報、機密通信などの機密情報を収集する可能性があります。収集されたデータは、販売されたり、詐欺に使用されたり、個人情報の盗難やスパイ活動などのさらなる攻撃につながる可能性があります。
- ネットワークの悪用: バックドア マルウェアは、侵入されるとネットワーク全体に横方向に広がり、他のデバイスに感染して攻撃の範囲を拡大します。これにより、ネットワーク全体が侵害され、攻撃者が複数のシステムを同時に制御できるようになります。
- その他のマルウェアの配信: バックドアは、ランサムウェア、スパイウェア、キーロガーなどの追加のマルウェアの配信メカニズムとして使用され、さらなる損害や混乱を引き起こす可能性があります。
- システムの操作と妨害: 攻撃者は感染したシステムでコマンドを実行し、構成を変更したり、ファイルを削除または破損したり、セキュリティ ツールを無効にしたり、重要なサービスを中断したりすることができます。産業システムや政府システムの場合、これは深刻な運用またはインフラストラクチャの損害につながる可能性があります。
- リモート監視と制御: バックドア マルウェアを使用すると、攻撃者はアクティビティを密かに監視し、キーストロークを記録し、スクリーンショットをキャプチャし、ユーザーの行動をログに記録できます。このレベルの監視により、セキュリティ ポリシーが侵害され、攻撃者が検出されることなく脆弱性を悪用できるようになります。
- 権限の昇格: 攻撃者は多くの場合、バックドアを使用してシステム上の権限を昇格し、完全な管理権限を取得します。これにより、セキュリティ プロトコルを回避できるため、正当なユーザーやセキュリティ チームが制御を取り戻すことはほぼ不可能になります。
要約すると、バックドア マルウェアは、攻撃者にシステムへの長期にわたる隠れたアクセスを許可し、データの盗難、マルウェアの拡散、操作の操作、ネットワーク全体の侵害を可能にする一方で、検出と根絶が困難なため、深刻な脅威となります。
