新型 KTLVdoor 恶意软件与中文威胁组织 Earth Lusca 相关

admin
admin
admin
139576
文章
114
评论
2024年9月13日22:40:03评论52 views字数 4019阅读13分23秒阅读模式

概述

新型 KTLVdoor 恶意软件与中文威胁组织 Earth Lusca 相关

研究人员最近发现了一种名为KTLVdoor的新型恶意软件,与中文网络威胁组织Earth Lusca有关。这种用Golang编写的多平台后门程序不仅针对Windows系统,还涉及Linux系统,大大扩展了该组织的攻击武器库。

KTLVdoor伪装成多种系统工具,使攻击者能够进行一系列恶意活动,包括文件操作、命令执行和远程端口扫描等。

技术特点

  1. 高级加密与混淆:KTLVdoor的配置和通信过程采用了先进的加密和混淆技术,增加了分析难度。

  2. 大量的c2网络:研究人员追踪到超过50个位于中国的c2(命令和控制)服务器,这些服务器由阿里云托管。

  3. 伪装技术:恶意软件伪装成动态库,模仿常见系统工具如sshd、java和bash。

  4. 复杂的通信机制

    • 与命令和控制服务器建立通信循环
    • 消息经GZIP压缩和AES-GCM加密
    • 消息头包含多个字段,如发送者、接收者、令牌、路由等

  5. 多功能任务处理:包括文件下载上传、交互式shell、网络扫描和进程管理等。

  6. 自定义配置格式:使用特殊的TLV格式存储配置,参数以Base64编码并附加XOR加密。

影响与展望

  1. Earth Lusca组织的活动规模和复杂度正在快速增长。

  2. 该组织的具体动机尚不明确,目前仅发现一家中国贸易公司成为受害者。

  3. 这类活动模糊了网络犯罪行为的界限,显示国界并不总是行动范围的限制。

  4. 研究人员将持续监控该组织的活动,以获取更多洞察。

结语

KTLVdoor的出现凸显了网络安全威胁的不断演变。组织和个人都需要保持警惕,及时更新安全措施,以应对这类新兴威胁。

详细原文:https://www.trendmicro.com/en_us/research/24/i/earth-lusca-ktlvdoor.html

IoC

Earth Lusca Uses KTLVdoor Backdoor for Multiplatform Intrusion

Backdoor SHA256 hashes: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Earth Lusca’s archive:
aa5ff64cadabd2d8aba7963c2372270bbfdafa155f85a9a9ec2b57674cf8173e


Earth Lusca’s LNK file:
FCF0CF8A19FA16792771310462D36F3C059ED7D36EF90899316313F4626D24D7


Earth Lusca’s DLL decryptor:
FD3205EDEF38248C059898274F5818ABBCB757ADB707CA47580D4B16772A38D1


Extracted C&Cs:
39.105.121.123:9999
39.107.101.26:9999
47.94.223.124:9999
47.94.166.190:9999
59.110.136.109:9999
123.56.45.175:81
123.57.223.22:81
39.107.75.91:81
182.92.101.4:81
123.56.45.175:443
123.57.223.22:443
39.107.75.91:443
182.92.101.4:443
123.57.6.3:81
39.107.67.131:81
101.200.156.217:81
182.92.155.149:81
123.57.218.176:81
47.99.78.41:443
47.96.97.77:443
47.96.5.136:443
47.96.135.49:443
116.62.120.97:443
123.57.60.94:443
39.105.107.130:443
182.92.233.242:443
47.94.229.250:443
182.92.169.60:443
47.96.160.242:443
116.62.231.152:443
47.96.13.99:443
47.98.173.175:443
47.97.109.62:443
139.224.254.181:53
139.224.45.232:53
47.102.36.88:53
47.101.43.111:53
139.196.196.178:53
123.57.60.94:8081
39.105.107.130:8081
182.92.233.242:8081
47.94.229.250:8081
182.92.169.60:8081
47.100.98.234:443
106.14.175.235:443
106.15.193.24:443
47.100.121.195:443
47.100.59.42:443
47.100.160.164:80
47.101.48.168:80
47.101.137.187:8032
139.196.89.210:80
106.15.90.75:80
47.93.38.26:53
39.106.135.228:53
47.95.198.228:53
101.201.68.58:53
47.94.194.248:53
182.92.243.166:1433
47.95.168.191:80
47.98.121.179:443
47.96.106.167:443
116.62.142.53:443
121.40.70.23:443
118.31.53.137:443
47.98.50.198:80
39.106.40.121:53
101.200.63.187:53
101.201.35.96:53
39.107.231.100:53
47.95.12.152:53
47.94.20.102:443
101.201.69.42:443
47.94.202.137:443
47.94.193.44:443
47.94.227.15:443
47.94.143.163:443
39.106.13.202:443
47.93.47.186:443
59.110.226.246:443
47.94.200.23:443

原文始发于微信公众号(独眼情报):新型 KTLVdoor 恶意软件与中文威胁组织 Earth Lusca 相关

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月13日22:40:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型 KTLVdoor 恶意软件与中文威胁组织 Earth Lusca 相关https://cn-sec.com/archives/3138203.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息