Puerta trasera KTLVdoor
Se ha detectado que el grupo de amenazas de habla china conocido como Earth Lusca ha implementado una nueva puerta trasera llamada KTLVdoor en un ciberataque contra una empresa comercial no revelada en China. Este malware recién descubierto, desarrollado en Golang, está diseñado para ser multiplataforma y apunta tanto a sistemas Microsoft Windows como Linux.
KTLVdoor presenta una gran ofuscación y se camufla en varias utilidades del sistema. Esto permite a los atacantes realizar una variedad de actividades maliciosas, incluida la manipulación de archivos, la ejecución de comandos y el escaneo remoto de puertos.
Tabla de contenido
Suplantación de herramientas legítimas
KTLVdoor se hace pasar por varias herramientas, entre ellas sshd, Java, SQLite, bash y edr-agent, entre otras. El malware se distribuye como una biblioteca de vínculos dinámicos (.dll) o como un objeto compartido (.so).
Un aspecto destacable de esta actividad es la identificación de más de 50 servidores de comando y control (C&C), todos ellos alojados por la empresa china Alibaba. Estos servidores han sido vinculados a varias variantes de malware, lo que sugiere la posibilidad de que compartan infraestructura con otros actores de amenazas chinos.
Los actores de amenazas han estado activos durante varios años
Earth Lusca ha estado activo desde al menos 2021, llevando a cabo ciberataques dirigidos a instituciones del sector público y privado en Asia, Australia, Europa y América del Norte. Se cree que el grupo tiene algunas similitudes tácticas con otros grupos de intrusos conocidos como RedHotel y APT27 (también conocidos como Budworm, Emissary Panda y Iron Tiger).
El último malware del grupo, KTLVdoor, está altamente ofuscado. Su nombre deriva de un marcador denominado "KTLV" que se encuentra en su archivo de configuración, que incluye varios parámetros necesarios para sus operaciones, como los servidores de comando y control (C&C) a los que se conecta.
Aún quedan muchas incógnitas
Una vez activado, el malware se comunica repetidamente con el servidor de Comando y Control (C&C) a la espera de recibir más instrucciones para ejecutarse en el sistema afectado. Admite varios comandos, como descargar y cargar archivos, enumerar el sistema de archivos, iniciar un shell interactivo, ejecutar shellcode y realizar escaneos con herramientas como ScanTCP, ScanRDP, DialTLS, ScanPing y ScanWeb, entre otras.
Sin embargo, los detalles sobre cómo se distribuye el malware y si ha sido utilizado contra otros objetivos en todo el mundo siguen sin estar claros.
Si bien Earth Lusca utiliza esta nueva herramienta, existe la posibilidad de que otros actores de amenazas de habla china también la utilicen. El hecho de que todos los servidores C&C estuvieran alojados en direcciones IP de Alibaba, un proveedor chino, ha llevado a los investigadores a especular que el malware y su infraestructura C&C podrían ser parte de una fase de prueba temprana para nuevas herramientas.
Las amenazas de puerta trasera exponen a las víctimas a graves consecuencias
El malware de puerta trasera plantea graves peligros porque proporciona a los atacantes acceso no autorizado y encubierto a sistemas comprometidos, eludiendo las medidas de seguridad normales. Algunas de las amenazas más importantes asociadas con el malware de puerta trasera incluyen:
- Control persistente : las puertas traseras permiten a los atacantes mantener un acceso a largo plazo a un sistema, a menudo sin ser detectados. Este acceso persistente permite a los atacantes supervisar y manipular el sistema de forma continua a lo largo del tiempo, lo que dificulta la eliminación de la amenaza.
- Robo de datos : los atacantes pueden recopilar información confidencial, como datos financieros, propiedad intelectual, credenciales de inicio de sesión y comunicaciones confidenciales. Estos datos recopilados pueden venderse, usarse para cometer fraudes o dar lugar a otros ataques, como el robo de identidad o el espionaje.
- Explotación de la red : una vez dentro, un malware de puerta trasera puede propagarse lateralmente por la red, infectando otros dispositivos y ampliando el alcance del ataque. Esto puede provocar la vulneración total de la red, lo que permite a los atacantes controlar varios sistemas simultáneamente.
- Entrega de otro malware : las puertas traseras se pueden utilizar como mecanismo de entrega de malware adicional, como ransomware, spyware o keyloggers, que pueden causar más daños y perturbaciones.
- Manipulación y sabotaje del sistema : los atacantes pueden ejecutar comandos en el sistema infectado, alterando configuraciones, eliminando o corrompiendo archivos, desactivando herramientas de seguridad e interrumpiendo servicios críticos. En el caso de sistemas industriales o gubernamentales, esto podría provocar graves daños operativos o de infraestructura.
- Monitoreo y control remotos : el malware de puerta trasera permite a los atacantes monitorear actividades de forma silenciosa, registrando las pulsaciones de teclas, capturando capturas de pantalla y registrando el comportamiento del usuario. Este nivel de vigilancia puede comprometer las políticas de seguridad y permitir que el atacante explote vulnerabilidades sin ser detectado.
- Escalada de privilegios : los atacantes suelen utilizar puertas traseras para escalar sus privilegios en un sistema, lo que les otorga un control administrativo total. Esto les permite eludir los protocolos de seguridad, lo que hace que sea casi imposible para los usuarios legítimos o los equipos de seguridad recuperar el control.
En resumen, un malware de puerta trasera es una amenaza grave porque otorga a los atacantes acceso oculto a largo plazo a los sistemas, lo que les permite robar datos, propagar malware, manipular operaciones y comprometer redes enteras, todo ello mientras sigue siendo difícil de detectar y erradicar.
