Nieuwe cross-platform malware KTLVdoor ontdekt bij aanval op Chinees handelsbedrijf

De Chineestalige cybercrimineel Earth Lusca is gespot terwijl hij een nieuwe backdoor met de naam KTLVdoor gebruikte als onderdeel van een cyberaanval gericht op een anoniem handelsbedrijf in China.

De malware waar nog niet eerder melding van is gemaakt, is geschreven in Golang en is daardoor een platformonafhankelijk wapen dat zowel Microsoft Windows- als Linux-systemen kan aanvallen.

“KTLVdoor is een zeer verhulde malware die zich voordoet als verschillende systeemhulpprogramma’s, waarmee aanvallers allerlei taken kunnen uitvoeren, waaronder bestandsmanipulatie, het uitvoeren van opdrachten en het scannen van poorten op afstand”, aldus Trend Micro-onderzoekers Cedric Pernet en Jaromir Horejsi in een woensdag gepubliceerde analyse.

Enkele van de tools die KTLVdoor imiteert, zijn onder andere sshd, Java, SQLite, bash en edr-agent. De malware wordt verspreid in de vorm van een dynamic-link library (.dll) of een shared object (.so).

Het meest ongebruikelijke aspect van de activiteitencluster is misschien wel de ontdekking van meer dan 50 command-and-control (C&C)-servers, die allemaal gehost worden bij het Chinese bedrijf Alibaba. Er is vastgesteld dat deze servers communiceren met varianten van de malware. Dit doet vermoeden dat de infrastructuur gedeeld kan worden met andere Chinese cybercriminelen.

Earth Lusca is sinds ten minste 2021 actief en orkestreert cyberaanvallen op publieke en private sector entiteiten in Azië, Australië, Europa en Noord-Amerika. Er wordt geschat dat het enkele tactische overlappingen deelt met andere intrusiesets die worden gevolgd als RedHotel en APT27 (ook bekend als Budworm, Emissary Panda en Iron Tiger).

KTLVdoor, de nieuwste toevoeging aan het malware-arsenaal van de groep, is zeer verhuld en ontleent zijn naam aan het gebruik van een marker met de naam ‘KTLV’ in het configuratiebestand. Deze bevat verschillende parameters die nodig zijn om de functies uit te voeren, waaronder de C&C-servers waarmee verbinding moet worden gemaakt.

Eenmaal geïnitialiseerd, initieert de malware contact met de C&C-server in een lus, wachtend op verdere instructies die moeten worden uitgevoerd op de gecompromitteerde host. De ondersteunde opdrachten stellen het in staat om bestanden te downloaden/uploaden, het bestandssysteem op te sommen, een interactieve shell te starten, shellcode uit te voeren en scannen te starten met behulp van ScanTCP, ScanRDP, DialTLS, ScanPing en ScanWeb, onder andere.

Er is echter nog niet veel bekend over de manier waarop de malware wordt verspreid en of deze ook is gebruikt om andere entiteiten over de hele wereld aan te vallen.

“Deze nieuwe tool wordt gebruikt door Earth Lusca, maar kan ook worden gedeeld met andere Chinees sprekende bedreigingsactoren”, merkten de onderzoekers op. “Aangezien alle C&C-servers op IP-adressen van de in China gevestigde provider Alibaba stonden, vragen we ons af of de hele verschijning van deze nieuwe malware en de C&C-server niet een vroege fase van het testen van nieuwe tooling zou kunnen zijn.”

Thijs Van der Does