Multi-License Discount Quote
قاعدة بيانات التهديد Backdoors TinyTurla-NG مستتر

TinyTurla-NG مستتر

بواسطة Mezo في Backdoors, Advanced Persistent Threat (APT), Stealers
ترجمة الى:
العربية

وقد لوحظ أن جهة التهديد Turla، التي يُعتقد أنها مدعومة من روسيا، تستخدم بابًا خلفيًا جديدًا يسمى TinyTurla-NG في حملة امتدت لثلاثة أشهر. استهدفت العملية الهجومية على وجه التحديد المنظمات غير الحكومية في بولندا في نهاية عام 2023. وعلى غرار سابقتها، TinyTurla، تعمل TinyTurla-NG كباب خلفي مدمج "للملاذ الأخير". يتم نشره بشكل استراتيجي ليظل خاملاً حتى يتم فشل أو اكتشاف جميع آليات الوصول غير المصرح بها أو آليات الباب الخلفي على الأنظمة المخترقة.

تم تسميتها لتشابهها مع TinyTurla، TinyTurla-NG هي عملية زرع أخرى تستخدمها المجموعات المعادية في عمليات الاقتحام التي تستهدف الولايات المتحدة وألمانيا وأفغانستان منذ عام 2020 على الأقل. وقد قامت شركة الأمن السيبراني بتوثيق TinyTurla في البداية في سبتمبر 2021.

قامت مجموعة Turla APT بتسوية الأهداف المتوافقة مع مصالح روسيا

يقوم ممثلو التهديد المعروفون باسم متخصصي الأمن السيبراني بتتبع Turla تحت أسماء مستعارة مختلفة، بما في ذلك Iron Hunter وPensive Ursa وSecret Blizzard ( Krypton سابقًا) و Snake و Uroburos وVenomous Bear. تنتمي مجموعة القرصنة هذه إلى الدولة الروسية وترتبط بجهاز الأمن الفيدرالي (FSB).

في الأشهر الأخيرة، استهدفت شركة Turla على وجه التحديد قطاع الدفاع في أوكرانيا وأوروبا الشرقية، وذلك باستخدام باب خلفي جديد قائم على .NET يُسمى DeliveryCheck. في الوقت نفسه، قام ممثل التهديد بترقية غرسة المرحلة الثانية الطويلة الأمد، Kazuar ، والتي كانت قيد الاستخدام منذ عام 2017 على الأقل.

تعود أحدث حملة تضم TinyTurla-NG إلى نهاية عام 2023 ويقال إنها استمرت حتى 27 يناير 2024. ومع ذلك، هناك شكوك في أن النشاط الضار ربما يكون قد بدأ في وقت مبكر من نوفمبر 2023 بناءً على تواريخ تجميع البرامج الضارة المرتبطة به. .

يتم استخدام TinyTurla-NG لتوصيل البرامج الضارة Infostealer

لا تزال طريقة توزيع الباب الخلفي TinyTurla-NG غير معروفة في الوقت الحاضر. ومع ذلك، فقد لوحظ استخدام مواقع الويب المستندة إلى WordPress المخترقة كنقاط نهاية للقيادة والتحكم (C2). تعمل مواقع الويب هذه على استرداد التعليمات وتنفيذها، مما يسمح لـ TinyTurla-NG بتنفيذ الأوامر من خلال PowerShell أو Command Prompt (cmd.exe) وتسهيل أنشطة تنزيل/تحميل الملفات.

بالإضافة إلى ذلك، يعمل TinyTurla-NG كقناة لتوصيل TurlaPower-NG، الذي يتكون من نصوص PowerShell المصممة لتصفية المعلومات المهمة المستخدمة لتأمين قواعد بيانات كلمات المرور الخاصة ببرامج إدارة كلمات المرور الشائعة. عادةً ما يتم تجميع البيانات المسربة في أرشيف ZIP.

تُظهر هذه الحملة مستوى عالٍ من الاستهداف، مع التركيز على عدد محدد من المنظمات، مع التأكيد حاليًا على تلك الموجودة في بولندا. تتميز الحملة بالتقسيم القوي، حيث يتفاعل عدد قليل من مواقع الويب المخترقة التي تعمل بمثابة C2s مع عدد محدود فقط من العينات. تجعل هذه البنية من الصعب التبديل من عينة واحدة/C2 إلى عينات أخرى داخل نفس البنية الأساسية.

تسمح الأبواب الخلفية للجهات الفاعلة في مجال التهديد بأداء أنشطة تهديد مختلفة

تشكل الأجهزة المصابة بتهديدات البرمجيات الخبيثة مخاطر كبيرة، بما في ذلك:

  • الوصول غير المصرح به: توفر الأبواب الخلفية نقطة دخول خفية لمجرمي الإنترنت إلى الجهاز. بمجرد الإصابة، يمكن للمهاجمين الوصول غير المصرح به، مما يعرض البيانات الحساسة أو المعلومات الشخصية أو الملكية الفكرية للخطر.
  • سرقة البيانات والتجسس: يمكن استغلال الأبواب الخلفية لتهريب المعلومات السرية، مثل السجلات المالية أو التفاصيل الشخصية أو استراتيجيات العمل. يمكن استخدام هذه البيانات المجمعة لسرقة الهوية أو التجسس على الشركات أو بيعها على شبكة الإنترنت المظلمة.
  • التحكم المستمر: غالبًا ما تتيح الأبواب الخلفية التحكم المستمر في الجهاز المخترق. يمكن للمهاجمين التعامل مع الجهاز عن بعد، وتنفيذ أوامر غير آمنة، والحفاظ على الوصول لفترات طويلة دون علم المستخدم.
  • الانتشار والحركة الجانبية: قد تسهل الأبواب الخلفية انتشار البرامج الضارة داخل الشبكة من خلال السماح للمهاجمين بالتحرك أفقيًا من جهاز إلى آخر. يمكن أن يؤدي ذلك إلى انتشار العدوى على نطاق واسع، مما يجعل من الصعب على المؤسسات احتواء التهديد والقضاء عليه.
  • نشر برامج الفدية: يمكن أن تكون الأبواب الخلفية بمثابة نقطة دخول لنشر ملفات تشفير برامج الفدية على الجهاز أو الشبكة المصابة. ثم يطلب المجرمون فدية مقابل مفتاح فك التشفير، مما يؤدي إلى تعطيل العمليات العادية والتسبب في خسائر مالية.
  • سلامة النظام للخطر: قد تؤدي الأبواب الخلفية إلى تعريض سلامة النظام للخطر عن طريق تعديل ميزات الأمان أو تعطيلها. وقد يؤدي ذلك إلى مجموعة من المشكلات، بما في ذلك عدم القدرة على اكتشاف البرامج الضارة أو إزالتها، مما يجعل الجهاز عرضة لمزيد من الاستغلال.
  • هجمات سلسلة التوريد: يمكن إدخال أبواب خلفية في البرامج أو البرامج الثابتة أثناء عملية سلسلة التوريد. يمكن توزيع الأجهزة ذات الأبواب الخلفية المثبتة مسبقًا على المستخدمين المطمئنين، مما يشكل تهديدًا كبيرًا للأفراد والشركات وحتى البنية التحتية الحيوية.

للتخفيف من هذه المخاطر، من الضروري للأفراد والمؤسسات وضع تدابير قوية للأمن السيبراني، بما في ذلك تحديثات البرامج المنتظمة، وحلول مكافحة البرامج الضارة، ومراقبة الشبكة، وتثقيف المستخدم حول التعرف على التهديدات المحتملة وتجنبها.

 

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
36,927
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...