VietNetwork.Vn

Tin tặc nói tiếng Trung Quốc có tên gọi là Earth Lusca đã bị phát hiện sử dụng một cửa hậu mới có tên KTLVdoor như một phần của cuộc tấn công mạng nhắm vào một công ty thương mại giấu tên có trụ sở tại Trung Quốc.

Phần mềm độc hại chưa từng được báo cáo trước đây này được viết bằng Golang và do đó là một vũ khí đa nền tảng có khả năng nhắm mục tiêu vào cả hệ thống Microsoft Windows và Linux.


"KTLVdoor là phần mềm độc hại có khả năng ẩn giấu cao, ngụy trang thành nhiều tiện ích hệ thống khác nhau, cho phép kẻ tấn công thực hiện nhiều tác vụ khác nhau, bao gồm thao tác tệp, thực thi lệnh và quét cổng từ xa", các nhà nghiên cứu Cedric Pernet và Jaromir Horejsi của Trend Micro cho biết trong một bài phân tích được công bố hôm thứ Tư.

Một số công cụ mà KTLVdoor giả mạo bao gồm sshd, Java, SQLite, bash và edr-agent, cùng nhiều công cụ khác, với phần mềm độc hại được phân phối dưới dạng thư viện liên kết động (.dll) hoặc đối tượng chia sẻ (.so).

Có lẽ khía cạnh bất thường nhất của nhóm hoạt động này là việc phát hiện ra hơn 50 máy chủ chỉ huy và kiểm soát (C&C), tất cả đều được lưu trữ tại công ty Alibaba của Trung Quốc, được xác định là đang giao tiếp với các biến thể của phần mềm độc hại, làm dấy lên khả năng cơ sở hạ tầng này có thể được chia sẻ với các tác nhân đe dọa khác của Trung Quốc.

Earth Lusca được biết là hoạt động ít nhất từ năm 2021, chỉ đạo các cuộc tấn công mạng vào các thực thể khu vực công và tư nhân trên khắp Châu Á, Úc, Châu Âu và Bắc Mỹ. Nó được đánh giá là có một số điểm trùng lặp về mặt chiến thuật với các nhóm xâm nhập khác được theo dõi là RedHotel và APT27 (hay còn gọi là Budworm, Emissary Panda và Iron Tiger).

KTLVdoor, phần mềm độc hại mới nhất của nhóm này, có khả năng ẩn danh cao và được đặt tên theo ký hiệu "KTLV" trong tệp cấu hình bao gồm nhiều tham số cần thiết để thực hiện chức năng của nó, bao gồm cả máy chủ C&C để kết nối.

Sau khi khởi tạo, phần mềm độc hại sẽ bắt đầu liên lạc với máy chủ C&C theo vòng lặp, chờ các hướng dẫn tiếp theo được thực hiện trên máy chủ bị xâm phạm. Các lệnh được hỗ trợ cho phép nó tải xuống/tải lên các tệp, liệt kê hệ thống tệp, khởi chạy shell tương tác, chạy shellcode và bắt đầu quét bằng ScanTCP, ScanRDP, DialTLS, ScanPing và ScanWeb, cùng nhiều lệnh khác.

Tuy nhiên, người ta vẫn chưa biết nhiều về cách thức phân phối phần mềm độc hại và liệu nó có được sử dụng để nhắm vào các thực thể khác trên toàn thế giới hay không.

"Công cụ mới này được Earth Lusca sử dụng, nhưng nó cũng có thể được chia sẻ với các tác nhân đe dọa nói tiếng Trung Quốc khác", các nhà nghiên cứu lưu ý. "Vì tất cả các máy chủ C&C đều nằm trên các địa chỉ IP từ nhà cung cấp Alibaba có trụ sở tại Trung Quốc, chúng tôi tự hỏi liệu toàn bộ sự xuất hiện của phần mềm độc hại mới này và máy chủ C&C có phải là giai đoạn đầu của quá trình thử nghiệm công cụ mới hay không".