Опасный китайский бэкдор атакует Linux и Windows

Специалисты Trend Micro обнаружили новый мультиплатформенный бэкдор KTLVdoor китайской группировки Earth Lusca. В ходе расследования были обнаружены версии этого нового семейства вредоносных программ для Microsoft Windows и Linux. Эксперты по информационной безопасности (ИБ) обнаружили более 50 серверов управления и контроля (C2), которые взаимодействуют с различными версиями KTLVdoor.

Несанкционированный доступ

В ходе мониторинга китайскоязычного угрожающего актора Earth Lusca специалисты Trend Micro обнаружили новый мультиплатформенный бэкдор, написанный на языке Golang. Об этом в начале сентября 2024 г. говорится в отчете, который был опубликован на сайте японской компании-разработчике программного обеспечения (ПО) для кибербезопасности Trend Micro. Бэкдор под названием KTLVdoor имеет версии для Microsoft Windows и Linux.

Бэкдор (от англ. back door, черный ход) - программа или набор программ, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к ИТ-системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux - Bash, в Microsoft Windows NT - cmd). Бэкдор позволяет постороннему человеку делать на компьютере (или другом девайсе) все то же, что может делать владелец, но дистанционно. В отличие от легальных программ удаленного доступа, бэкдор используется тайно и с корыстными или преступными целями. Бэкдоры обнаружить трудно, они могут находиться в системе продолжительное время, как в спящем режиме, так и в активном. С самыми простыми вирусами-бэкдорами может справиться антивирусная программа. Также пользователи могут проверить автозагрузку и активные процессы устройства на предмет чего-то нетипичного и подозрительного, но чаще всего бэкдоры замаскированы так, что обычному пользователю не только невозможно их вычислить и обезвредить, но даже обнаружить следы их деятельности, которые будут скрыты.

Китайский бэкдор атакует операционные системы на базе Windows и Linux

KTLVdoor - это сильно обфусцированное вредоносное ПО, которое маскируется под различные системные утилиты. Бэкдор позволяет хакерам выполнять различные задачи, включая манипуляции с файлами, выполнение команд и удаленное сканирование портов. Конфигурация и взаимодействие вредоносной программы используют сложные методы шифрования и обфускации, препятствующие анализу вредоносного ПО. Масштабы атакующей кампании весьма значительны: обнаружено ИБ-специалисты обнаружили более 50 серверов управления и контроля (C2), которые взаимодействуют с различными версиями KTLVdoor. Пока неясно, принадлежит ли вся инфраструктура исключительно китайской группировки Earth Lusca или используется совместно с другими угрожающими субъектами.

Обфусцированные имена функций в декомпиляторе

На данный момент ИБ-специалисты Trend Micro смогли найти только одну цель операции - торговую компанию, базирующуюся в Китае. Это не первый случай, когда китайскоязычный угрожающий агент атакует китайскую компанию. Такие хакерские группировки, как Iron Tiger и Void Arachne, также использовали ИТ-инструменты, нацеленные именно на носителей китайского языка.

Анализ KTLVdoor

Большинство образцов, обнаруженных в ходе исследования, обфусцированы: встроенные строки не читаются напрямую, символы зачеркнуты, а большинство функций и пакетов переименованы в случайные строки, похожие на Base64. По информации Trend Micro, это очевидная попытка разработчиков замедлить анализ вредоносного ПО.

Пример расшифрованной конфигурации

Первым шагом является инициализация параметров конфигурации агента. Значения инициализации шифруются XOR-шифром и кодируются Base64 в двоичном файле агента. Формат файла конфигурации представляет собой пользовательский TLV-подобный формат. Маркер «KTLV» обычно предшествует четырехбайтовой длине структуры и ведет себя как маркер начала структуры. Далее следует список параметров и их значений. К примеру, на третьем рисунке можно заметить параметр «proto», длина которого составляет пять байт, за ней - строка http, которая является значением параметра протокола.

Параметр sleep, тип long long (08), значение 0x7530 = 30 000 миллисекунд = 30 секунд, как сохранено в файле конфигурации

Конфигурация обрабатывается, и внутренняя структура конфигурации (Config) обновляется. Частью структуры Config является структура HostInfo, которая также содержит дополнительные параметры о текущей зараженной машине. Эти структуры обновляются в зависимости от текущего окружения машины.

Поддерживаемые форматы типов

Command and Control (C&C)-сервер(ы) хранятся в значении «connect». Значение зашифровано AES-GCM и имеет Base64-кодировку. Метод AES-GCM использует стандартный предварительный 12-байтовый nonce и дополнительный 16-байтовый тег. Ключ AES-GCM получается из «секретного» значения путем вычисления его хэша MD5 и использования подстановки ключа (увеличения размера ключа) до 32 байт путем добавления к нему 16 нулей (0x00 байт).

Файл конфигурации может содержать следующие параметры

После завершения шагов инициализации агент запускает цикл связи с C&C-сервером. Взаимодействие осуществляется путем отправки и получения сообщений, которые сжимаются в GZIP и шифруются AES-GCM. В зависимости от настроек конфигурации, передача сообщений может осуществляться как в симплексном режиме (одно устройство на канале может только отправлять, другое - только принимать), так и в дуплексном (оба устройства могут одновременно отправлять и принимать сообщения). Каждое сообщение содержит заголовок сообщения, за которым следуют данные сообщения (msg).

Сообщение с информацией об ОС отправляется на C&C-сервер

По данным Trend Micro, отправитель этого исходящего сообщения (с зараженной машины на C&C-сервер) имеет идентификатор сессии текущей зараженной машины. Получателем является «admin», то есть сервер C&C. В случае входящего сообщения (от сервера C&C к зараженной машине) «отправителем» является «admin», а «получателем» - идентификатор сессии.

Заключение

Специалистам Trend Micro удалось с высокой степенью достоверности связать образцы KTLVdoor с угрожающим агентом Earth Lusca. Однако им не удалось связать с этим угрожающим агентом несколько других образцов данного семейства вредоносных программ. Кроме того, размер инфраструктуры, которую Trend Micro удалось обнаружить, очень необычен. Учитывая, что все C&C-серверы находились на IP-адресах китайского провайдера Alibaba Group, эксперты по ИБ задаются вопросом, не является ли появление этого нового вредоносного ПО и C&C-сервера, какой-то ранней стадией тестирования нового ИТ-инструментария.

По информации Trend Micro, инструмент KTLVdoor используется Earth Lusca, но им могут пользоваться и другие китайскоязычные китайские группировки. Хотя многие подробности этой кампании пока неизвестны, ИБ-специалисты Trend Micro будут продолжать следить за этой активностью.