Çince konuşan tehdit grubu Earth Lusca’nın, Çin merkezli ismi açıklanmayan bir ticaret şirketini hedef alan siber saldırının bir parçası olarak KTLVdoor adı verilen yeni bir arka kapı kullandığı gözlemlendi.
Daha önce bildirilmeyen kötü amaçlı yazılım Golang dilinde yazılmış olup, bu sayede hem Microsoft Windows hem de Linux sistemlerini hedef alabilen, platformlar arası bir silah olduğu ortaya çıkıyor.
Trend Micro araştırmacıları Cedric Pernet ve Jaromir Horejsi Çarşamba günü yayınlanan bir analizde, “KTLVdoor, saldırganların dosya manipülasyonu, komut yürütme ve uzaktan bağlantı noktası taraması gibi çeşitli görevleri gerçekleştirmesine olanak tanıyan, farklı sistem yardımcı programları gibi görünen son derece gizli bir kötü amaçlı yazılımdır” dedi.
KTLVdoor’un taklit ettiği araçlar arasında sshd, Java, SQLite, bash ve edr-agent gibi araçlar yer alırken, kötü amaçlı yazılım dinamik bağlantı kitaplığı (.dll) veya paylaşımlı nesne (.so) biçiminde dağıtılıyor.
Faaliyet kümesinin belki de en sıra dışı yönü, tamamı Çinli Alibaba şirketinde barındırılan ve kötü amaçlı yazılımın varyantlarıyla iletişim kurduğu tespit edilen 50’den fazla komuta ve kontrol (C&C) sunucusunun keşfedilmesidir; bu durum, altyapının diğer Çinli tehdit aktörleriyle paylaşılabileceği olasılığını gündeme getirmektedir.
Earth Lusca’nın en az 2021’den beri aktif olduğu ve Asya, Avustralya, Avrupa ve Kuzey Amerika’daki kamu ve özel sektör kuruluşlarına karşı siber saldırılar düzenlediği biliniyor. RedHotel ve APT27 (diğer adıyla Budworm, Emissary Panda ve Iron Tiger) olarak izlenen diğer saldırı setleriyle bazı taktiksel örtüşmeler paylaştığı değerlendiriliyor.
Grubun kötü amaçlı yazılım cephaneliğine en son eklenen KTLVdoor, oldukça karmaşık bir yapıya sahip ve adını, bağlanılacak C&C sunucuları da dahil olmak üzere işlevlerini yerine getirmek için gerekli çeşitli parametreleri içeren yapılandırma dosyasında kullanılan “KTLV” adlı bir işaretten alıyor.
Başlatıldıktan sonra, kötü amaçlı yazılım, tehlikeye atılan ana bilgisayarda yürütülecek diğer talimatları bekleyerek bir döngüde C&C sunucusuyla iletişim başlatır. Desteklenen komutlar, dosyaları indirmesine/yüklemesine, dosya sistemini numaralandırmasına, etkileşimli bir kabuk başlatmasına, kabuk kodunu çalıştırmasına ve ScanTCP, ScanRDP, DialTLS, ScanPing ve ScanWeb gibi diğerlerini kullanarak taramayı başlatmasına olanak tanır.
Bununla birlikte, kötü amaçlı yazılımın nasıl dağıtıldığı ve dünya çapında diğer kuruluşları hedef almak için kullanılıp kullanılmadığı konusunda fazla bir şey bilinmiyor.
Araştırmacılar, “Bu yeni araç Earth Lusca tarafından kullanılıyor, ancak Çince konuşan diğer tehdit aktörleriyle de paylaşılabilir,” diye belirtti. “Tüm C&C sunucularının Çin merkezli sağlayıcı Alibaba’dan gelen IP adreslerinde olduğunu gördüğümüzde, bu yeni kötü amaçlı yazılımın ve C&C sunucusunun ortaya çıkmasının yeni araçların test edilmesinin erken bir aşaması olup olmadığını merak ediyoruz.”