50 серверов и полное управление системой: бэкдор KTLVdoor атакует системы Windows и Linux
Малоизученный вредонос не оставляет шанса специалистам на исследование.
Специалисты Trend Micro обнаружили новый мультиплатформенный бэкдор KTLVdoor китайской группировки Earth Lusca. KTLVdoor разработан на Golang и имеет версии для Windows и Linux.
Ранее неизвестный вредоносный софт значительно сложнее, чем инструменты, которые обычно использует Earth Lusca. Вирус отличается высокой степенью обфускации и распространяется под именами, похожими на системные утилиты, например, sshd, java, sqlite, bash и другие. Основное назначение KTLVdoor – это предоставление полного контроля над зараженной системой. Бэкдор, помимо прочего, позволяет выполнять команды, манипулировать файлами, собирать системную и сетевую информацию, загружать и выгружать файлы, а также сканировать удаленные порты.
Исследователям удалось обнаружить более 50 серверов управления и контроля (C2), которые взаимодействуют с различными версиями KTLVdoor. Все серверы расположены на китайской платформе Alibaba. Несмотря на то, что часть из обнаруженных образцов KTLVdoor явно связана с группой Earth Lusca, не исключено, что инфраструктура может использоваться и другими киберпреступниками, говорящими на китайском языке.
На данный момент удалось установить одного пострадавшего — торговую компанию из Китая. Это не первый случай, когда китайские хакеры нацеливаются на компании своей страны. Аналогичные инциденты наблюдались с участием других известных групп, таких как Iron Tiger и Void Arachne.
Большая часть образцов KTLVdoor обфусцирована: строки и символы закодированы и не поддаются прямому прочтению. Вредоносное ПО намеренно запутано для того, чтобы затруднить анализ. Конфигурация вируса хранится в специальном формате TLV, где указаны параметры и их значения, включая режим работы, данные о C2-серверах, прокси-сервера, используемые протоколы (HTTP, TCP и т.д.).
После активации конфигурации вирус начинает взаимодействие с C2-серверами, отправляя и получая зашифрованные сообщения. В зависимости от настроек, коммуникация может происходить как в режиме simplex (односторонняя передача данных), так и в режиме duplex (двусторонняя передача).
Среди обнаруженных функций вируса – загрузка и скачивание файлов, сканирование портов, сбор информации о системе, управление процессами, а также работа с прокси-серверами. Вредоносная программа позволяет не только контролировать зараженные устройства, но и выполнять на них различные команды.
Исследователи отметили, что, несмотря на явные признаки связи с группой Earth Lusca, не все образцы вируса можно однозначно привязать к группе. Размер инфраструктуры и количество задействованных серверов нетипичны для подобных атак. Возможно, это часть тестирования нового инструментария или же его распространения среди других хакерских группировок.