已知使用中文的威胁行为者Earth Lusca被观察到在针对中国一家未具名贸易公司的网络攻击中使用了一种新的后门程序,名为KTLVdoor。
这款此前未被报告的恶意软件是用Golang编写的,因此是一种跨平台武器,能够针对Microsoft Windows和Linux系统。
趋势科技的研究员Cédric Pernet和Jaromír Horejsí在周三发布的一份分析中表示:“KTLVdoor是一种高度混淆的恶意软件,伪装成不同的系统工具,允许攻击者执行各种任务,包括文件操作、命令执行和远程端口扫描。”
KTLVdoor冒充的一些工具包括sshd、Java、SQLite、bash和edr-agent等,恶意软件以动态链接库(.dll)或共享对象(.so)的形式分发。
这次活动集群中最不同寻常的方面之一是发现了超过50个命令与控制(C&C)服务器,所有这些服务器都托管在中国公司阿里巴巴上,并被确认与该恶意软件变种通信,这表明该基础设施可能与其他中国威胁行为者共享。
自2021年以来,Earth Lusca已知活跃于亚洲、澳大利亚、欧洲和北美的公共和私营部门实体的网络攻击中。据评估,它与其他入侵集合RedHotel和APT27(又称为Budworm、Emissary Panda和Iron Tiger)在战术上有一定的重叠。
KTLVdoor是该组织最新加入的恶意软件库,高度混淆,并因在其配置文件中使用了一个名为“KTLV”的标记而得名,该配置文件包含实现其功能所需的各项参数,包括要连接的C&C服务器。
一旦初始化,恶意软件就会循环与C&C服务器建立联系,等待进一步指令在受感染的主机上执行。所支持的命令允许它下载/上传文件、枚举文件系统、启动交互式shell、运行shellcode,并使用ScanTCP、ScanRDP、DialTLS、ScanPing和ScanWeb等工具发起扫描。
尽管如此,关于该恶意软件是如何分发的,以及它是否被用来针对世界各地的其他实体,目前尚不清楚。
研究人员指出:“这种新工具被Earth Lusca使用,但可能也会与其他使用中文的威胁行为者共享。鉴于所有C&C服务器都在来自中国提供商阿里巴巴的IP地址上,我们怀疑这种新恶意软件及其C&C服务器的出现是否是测试新工具的早期阶段。”