Araştırmacılar, Çince konuşan tehdit aktörü Earth Lusca ile bağlantılı KTLVdoor adlı yeni bir kötü amaçlı yazılımı ortaya çıkardı. Golang dilinde yazılmış bu çok platformlu arka kapı, hem Windows hem de Linux sistemlerini hedef alıyor ve grubun sürekli büyüyen cephaneliğine önemli katkı sağlıyor.
Bu kötü amaçlı yazılım, saldırganların dosya manipülasyonu, komut yürütme ve uzaktan bağlantı noktası taraması gibi çeşitli kötü amaçlı faaliyetler gerçekleştirmesine olanak tanıyan çeşitli sistem yardımcı programları gibi görünür.
KTLVdoor Kötü Amaçlı Yazılım Analizi ve Özellikleri
KTLVdoor’un yapılandırması ve iletişimi, kötü amaçlı yazılım analizini engellemek için gelişmiş şifreleme ve karartma tekniklerinin kullanımını içerir. Kaspersky’nin SecureList araştırmacıları, operasyonlarını Alibaba altında barındırılan 50’den fazla Çin merkezli komuta ve kontrol (C&C) sunucusuna kadar takip etti.
Araştırmacılar, KTLVdoor zararlı yazılımının örneklerini Earth Lusca’ya bağlayarak araştırmalarında yüksek bir güvene sahip olsalar da, bu sunucuların yalnızca grubun faaliyetlerine özel olup olmadığını veya diğer siber suç gruplarıyla da paylaşılıp paylaşılmadığını belirleyemediler.
Kötü amaçlı yazılım, sshd, java ve bash gibi yaygın sistem araçlarını taklit eden dinamik bir kütüphane olarak dağıtılıyor ve sistemlere bulaştığında saldırganlara bulaşmış ortam üzerinde tam kontrol sağlıyor.
Başlatıldığında, ajan C&C sunucusuyla bir iletişim döngüsü başlatır, GZIP sıkıştırma ve AES-GCM şifrelemesiyle mesajlar gönderip alır. Kötü amaçlı yazılımın karmaşıklığının, gelişmiş şifreleme ve karartma teknikleriyle Earth Lusca tarafından kullanılan diğer araçları geride bıraktığı ve güvenlik araştırmacıları için analizi zorlaştırdığı değerlendirildi.
Her ileti, gönderici, alıcı, belirteç, rota, görev kimliği, görev durumu, görev türü ve alt görev türü gibi alanlara sahip bir başlık içerir. Kötü amaçlı yazılımın, dosya indirme, yükleme, yönetim, etkileşimli kabuk, ağ taraması ve işlem yönetimi dahil olmak üzere C&C sunucusundan alınan görevleri işlemek için birkaç farklı işleyicisi vardır.
Kötü amaçlı yazılımın yapılandırma dosyası özel bir TLV benzeri formatta depolanıyor ve saldırı parametreleri ile ilgili değerler ek XOR şifrelemesiyle Base64 formatında kodlanıyor.
Sonuçlar ve Görünüm
Yeni KTLVdoor arka kapısının ortaya çıkışı, Earth Lusca’nın faaliyetlerinde artan karmaşıklık ve operasyonel altyapısının ölçeğiyle birlikte hızlı bir gelişme hızının göstergesidir.
Araştırmacılar Çin tabanlı altyapıyı kullanmalarına rağmen kurban olarak yalnızca tek bir Çin ticaret şirketini tespit ettikleri için grupların motivasyonları belirsizdir. Ancak, Iron Tiger ve Void Arachne gibi grupların ana dili Çince olanlara karşı araçlar konuşlandırdığı Çince konuşan tehdit aktörlerinin yerel Çinli şirketleri hedef aldığına dair geçmiş bir geçmişe dikkat çekiyorlar.
Bu kampanyalar, siber suç operasyonları ve motivasyonları arasındaki çizgiyi bulanıklaştırıyor çünkü ulusal sınırlar her zaman operasyonların sınırını tanımlamıyor. Araştırmacılar grubun etkinliğini izlemeye devam ediyor ve ek dağıtım ve içgörüler bekliyor.