Devis de remise multi-licences
Données concernant les menaces Portes dérobées Porte dérobée KTLVdoor

Porte dérobée KTLVdoor

Par Mezo en Portes dérobées, Menace persistante avancée (APT), Logiciels malveillants
Se traduisent par :
Français

Le groupe malveillant chinois connu sous le nom de Earth Lusca a été détecté en train de déployer une nouvelle porte dérobée appelée KTLVdoor dans une cyberattaque contre une société commerciale non divulguée en Chine. Ce malware récemment découvert, développé par Golang, est conçu pour être multiplateforme, ciblant à la fois les systèmes Microsoft Windows et Linux.

KTLVdoor est doté d'une forte capacité d'obscurcissement et se fait passer pour divers utilitaires système. Cela permet aux attaquants d'effectuer une série d'activités malveillantes, notamment la manipulation de fichiers, l'exécution de commandes et l'analyse de ports à distance.

Usurpation d'identité d'outils légitimes

KTLVdoor se fait passer pour plusieurs outils, dont sshd, Java, SQLite, bash et edr-agent, entre autres. Le malware est distribué soit sous la forme d'une bibliothèque de liens dynamiques (.dll), soit sous la forme d'un objet partagé (.so).

Un aspect notable de cette activité est l'identification de plus de 50 serveurs de commande et de contrôle (C&C), tous hébergés par l'entreprise chinoise Alibaba. Ces serveurs ont été liés à diverses variantes de logiciels malveillants, ce qui suggère le potentiel d'une infrastructure partagée avec d'autres acteurs chinois de la menace.

Les acteurs de la menace sont actifs depuis plusieurs années

Le groupe Earth Lusca est actif depuis au moins 2021, menant des cyberattaques ciblant des institutions des secteurs public et privé en Asie, en Australie, en Europe et en Amérique du Nord. On pense que le groupe présente certaines similitudes tactiques avec d'autres groupes d'intrusion connus sous le nom de RedHotel et APT27 (également appelés Budworm, Emissary Panda et Iron Tiger).

Le dernier malware du groupe, KTLVdoor, est très obscur. Son nom vient d'un marqueur intitulé « KTLV » présent dans son fichier de configuration, qui inclut divers paramètres nécessaires à son fonctionnement, tels que les serveurs de commande et de contrôle (C&C) auxquels il se connecte.

Il reste encore beaucoup d'inconnues

Une fois activé, le malware contacte à plusieurs reprises le serveur de commande et de contrôle (C&C), en attendant d'autres instructions à exécuter sur le système compromis. Il prend en charge diverses commandes, notamment le téléchargement et le chargement de fichiers, l'énumération du système de fichiers, le lancement d'un shell interactif, l'exécution de shellcode et la réalisation d'analyses à l'aide d'outils tels que ScanTCP, ScanRDP, DialTLS, ScanPing et ScanWeb, entre autres.

Cependant, les détails sur la manière dont le logiciel malveillant est distribué et sur son éventuelle utilisation contre d’autres cibles dans le monde restent flous.

Bien que Earth Lusca utilise ce nouvel outil, il est possible qu'il soit également utilisé par d'autres acteurs malveillants parlant chinois. Le fait que tous les serveurs C&C soient hébergés sur des adresses IP d'Alibaba, un fournisseur chinois, a conduit les chercheurs à spéculer que le malware et son infrastructure C&C pourraient faire partie d'une phase de test précoce pour de nouveaux outils.

Les menaces de porte dérobée exposent les victimes à de graves conséquences

Les malwares de type backdoor présentent de graves dangers car ils permettent aux attaquants d'accéder de manière non autorisée et dissimulée aux systèmes compromis, en contournant les mesures de sécurité habituelles. Certaines des menaces les plus importantes associées aux malwares de type backdoor sont les suivantes :

  • Contrôle persistant : les portes dérobées permettent aux attaquants de conserver un accès à long terme à un système, souvent sans être détectés. Cet accès persistant permet aux attaquants de surveiller et de manipuler en permanence le système au fil du temps, ce qui rend difficile l'élimination de la menace.
  • Vol de données : les attaquants peuvent récupérer des informations sensibles telles que des données financières, des informations de propriété intellectuelle, des identifiants de connexion et des communications confidentielles. Ces données collectées peuvent être vendues, utilisées à des fins frauduleuses ou donner lieu à d'autres attaques, notamment le vol d'identité ou l'espionnage.
  • Exploitation du réseau : une fois à l'intérieur, un malware de porte dérobée peut se propager latéralement sur un réseau, infecter d'autres appareils et étendre la portée de l'attaque. Cela peut conduire à une compromission totale du réseau, permettant aux attaquants de contrôler plusieurs systèmes simultanément.
  • Diffusion d'autres logiciels malveillants : les portes dérobées peuvent être utilisées comme mécanisme de diffusion de logiciels malveillants supplémentaires, tels que des ransomwares, des logiciels espions ou des enregistreurs de frappe, qui peuvent causer des dommages et des perturbations supplémentaires.
  • Manipulation et sabotage du système : les attaquants peuvent exécuter des commandes sur le système infecté, modifier les configurations, supprimer ou corrompre des fichiers, désactiver les outils de sécurité et perturber les services critiques. Dans le cas de systèmes industriels ou gouvernementaux, cela peut entraîner de graves dommages opérationnels ou d'infrastructure.
  • Surveillance et contrôle à distance : les programmes malveillants de type backdoor permettent aux attaquants de surveiller silencieusement les activités, d'enregistrer les frappes au clavier, de prendre des captures d'écran et de consigner le comportement des utilisateurs. Ce niveau de surveillance peut compromettre les politiques de sécurité et permettre à l'attaquant d'exploiter les vulnérabilités sans se faire détecter.
  • Élévation des privilèges : les attaquants utilisent souvent des portes dérobées pour élever leurs privilèges sur un système, ce qui leur donne un contrôle administratif complet. Cela leur permet de contourner les protocoles de sécurité, ce qui rend presque impossible pour les utilisateurs légitimes ou les équipes de sécurité de reprendre le contrôle.
  • Détection et suppression difficiles : les malwares de type backdoor sont souvent conçus pour être très obscurs et furtifs, ce qui les rend difficiles à détecter avec les antivirus ou les outils de sécurité traditionnels. Ils peuvent également désactiver ou échapper aux outils de détection, permettant ainsi à la menace de rester dans le système sans être détectée pendant de longues périodes.

    • En résumé, un malware de porte dérobée est une menace sérieuse car il accorde aux attaquants un accès caché à long terme aux systèmes, leur permettant de voler des données, de propager des logiciels malveillants, de manipuler des opérations et de compromettre des réseaux entiers, tout en restant difficile à détecter et à éradiquer.

    Tendance

    Le plus regardé

    Chargement...