详细内容或原文请订阅后点击阅览
Earth Lusca 将多平台恶意软件 KTLVdoor 添加到其武器库
讲中文的威胁行为者 Earth Lusca 在对中国一家贸易公司的攻击中使用了新的后门 KTLVdoor。趋势科技研究人员发现讲中文的威胁行为者 Earth Lusca 使用了一种名为 KTLVdoor 的新多平台后门。Earth Lusca 组织至少从 2023 年上半年开始活跃,主要针对 […]
来源:Security Affairs _恶意软件Earth Lusca将乘数恶意软件ktlvdoor添加到其阿森纳
Pierluigi Paganini 2024年9月5日讲中文的威胁演员Earth Lusca使用了新的后门KTLVDOOR来袭击中国的一家贸易公司。
趋势微研究人员使用新的多平台后门(称为KTLVDoor)发现了讲中文的威胁演员地球卢斯卡。至少从2023年上半年起,地球卢斯卡集团就一直活跃起来,它主要针对东南亚,中亚和巴尔干地区的组织。该组织专注于参与外交,技术和电信的政府部门。
地球lusca该组针对试图利用基于服务器的N日漏洞的公共面向公共服务器
ktlvdoor是用Golang编写的,但专家还检测到Windows和Linux的版本。恶意软件高度混淆,并伪装成系统实用程序,允许攻击者执行文件操纵,命令执行和远程端口扫描等任务。恶意软件支持高级加密和混淆技术,以使恶意软件分析复杂并隐藏其操作。
攻击者将后门扩展为动态库(DLL,SO),恶意软件允许攻击者完全控制受损的环境。后门允许运行命令,操纵文件,提供系统和网络信息,使用代理,下载/上传文件,扫描远程端口等。
趋势微型警告与KTLVDoor恶意软件相关的广告系列广泛,他们已经发现了50多种指挥和控制(C&C)服务器,这些服务器均在中国的阿里巴巴举办,与不同的恶意软件变体进行了沟通。尽管许多样本都与地球卢斯卡威胁演员息息相关,但目前尚不清楚整个基础设施是否是独有的。它也可以与其他讲中文的威胁参与者共享。
分析KTLVDoor化妆架是不同的系统实用程序,包括SSHD,Java,Sqlite,Bash和Edr-Agent。
@securityaffairs ( -