Исследователи кибербезопасности из компании Trend Micro недавно обнаружили невиданное ранее вредоносное ПО, используемое для атаки на китайскую торговую компанию.
Вредоносная программа называется KTLVdoor, и поскольку она написана на Golang, ее можно использовать против конечных точек как на Windows, так и на Linux. Она предназначена для вмешательства в файлы, запуска кода и многого другого: «KTLVdoor — это сильно запутанная вредоносная программа, которая маскируется под различные системные утилиты, позволяя злоумышленникам выполнять различные задачи, включая манипуляцию файлами, выполнение команд и удаленное сканирование портов», — заявили исследователи Trend Micro в рекомендациях по безопасности, опубликованных ранее на этой неделе.
Исследователи также заявили, что инструмент маскируется под sshd, Java, SQLite, bash, edr-agent и другие.
Вредоносное ПО Earth Lusca Golang
Он был создан китайским злоумышленником под названием Earth Lusca. По-видимому, группа распространяет вредоносное ПО либо как файл .DLL, либо как .SO (общий объект). Однако исследователи все еще в значительной степени не знают, что касается распространения: «Этот новый инструмент используется Earth Lusca, но он также может быть общим с другими китайскоязычными злоумышленниками», — заявили исследователи. «Учитывая, что все серверы C&C находились на IP-адресах китайского провайдера Alibaba, мы задаемся вопросом, не может ли весь внешний вид этого нового вредоносного ПО и сервера C&C быть какой-то ранней стадией тестирования нового инструментария».
Говоря о серверах C2, Trend Micro обнаружила более 50 из них, все размещены на Alibaba. Это привело их к предположению, что несколько групп могут совместно использовать одну и ту же инфраструктуру.
Earth Lusca — это сложная группа киберпреступников, которая, как полагают, связана с продвинутыми постоянными угрозами (APT) с упором на шпионаж и сбор разведывательной информации. Группа, первая зарегистрированная деятельность которой датируется 2021 годом, известна тем, что нацелена на широкий спектр секторов, включая государственные учреждения, здравоохранение, телекоммуникации и образование, в основном в Юго-Восточной Азии.
С помощью Хакерские новости