TinyTurla-NG Backdoor

Актьорът за заплаха от Turla, за който се смята, че е подкрепян от Русия, е наблюдаван да използва нов заден ход, наречен TinyTurla-NG, в кампания, обхващаща три месеца. Операцията на атаката беше насочена специално към неправителствени организации в Полша към края на 2023 г. Подобно на своя предшественик, TinyTurla, TinyTurla-NG функционира като компактна задна вратичка за „последна инстанция“. Той е стратегически разгърнат, за да остане неактивен, докато всички други механизми за неоторизиран достъп или задни вратички на компрометираните системи или не се повредят, или бъдат открити.

Наречен заради приликата си с TinyTurla, TinyTurla-NG е друг имплант, използван от враждебния колектив при прониквания, насочени към САЩ, Германия и Афганистан поне от 2020 г. Компанията за киберсигурност първоначално документира TinyTurla през септември 2021 г.

Групата Turla APT компрометира цели, съобразени с интересите на Русия

Актьорите на заплахи, известни като специалисти по киберсигурност, проследяват Turla под различни псевдоними, включително Iron Hunter, Pensive Ursa, Secret Blizzard (бивш Krypton ), Snake , Uroburos и Venomous Bear. Тази хакерска група е свързана с руската държава и е свързана с нейната Федерална служба за сигурност (ФСБ).

През последните месеци Turla се насочи конкретно към отбранителния сектор в Украйна и Източна Европа, като използва нов базиран на .NET заден ход, наречен DeliveryCheck. Едновременно с това заплашителният актьор надгради своя дългогодишен имплант от втори етап, Kazuar , който се използва поне от 2017 г.

Най-новата кампания, включваща TinyTurla-NG, датира от края на 2023 г. и според съобщенията е продължила до 27 януари 2024 г. Въпреки това има подозрения, че злонамерената дейност може да е започнала още през ноември 2023 г. въз основа на датите на компилация на свързания зловреден софтуер .

TinyTurla-NG се използва за доставка на зловреден софтуер Infostealer

Методът на разпространение на задната вратичка TinyTurla-NG остава неизвестен в момента. Въпреки това е наблюдавано използване на компрометирани уебсайтове, базирани на WordPress, като крайни точки за командване и управление (C2). Тези уебсайтове служат за извличане и изпълнение на инструкции, което позволява на TinyTurla-NG да изпълнява команди чрез PowerShell или командния ред (cmd.exe) и улеснява дейностите по изтегляне/качване на файлове.

Освен това TinyTurla-NG служи като канал за доставяне на TurlaPower-NG, който се състои от PowerShell скриптове, предназначени да ексфилтрират важна информация, използвана за защита на бази данни с пароли на популярен софтуер за управление на пароли. Ексфилтрираните данни обикновено се пакетират в ZIP архив.

Тази кампания показва високо ниво на насочване, като се фокусира върху избран брой организации, като потвърждението в момента е ограничено до тези, базирани в Полша. Кампанията се характеризира със силно разделение, при което няколко компрометирани уебсайта, служещи като C2, взаимодействат само с ограничен брой проби. Тази структура прави предизвикателство преминаването от една проба/C2 към други в рамките на същата инфраструктура.

Задните вратички позволяват на заплашващите участници да извършват различни заплашителни дейности

Устройствата, заразени със заплахи от злонамерен софтуер, създаващи значителни опасности, включително:

• Неоторизиран достъп: Задните врати осигуряват скрита входна точка за киберпрестъпници в устройство. Веднъж заразени, нападателите могат да получат неоторизиран достъп, компрометирайки чувствителни данни, лична информация или интелектуална собственост.
• Кражба на данни и шпионаж: Задните врати могат да бъдат използвани за ексфилтриране на поверителна информация, като финансови записи, лични данни или бизнес стратегии. Тези събрани данни могат да се използват за кражба на самоличност, корпоративен шпионаж или да се продават в Тъмната мрежа.
• Постоянен контрол: Задните врати често позволяват постоянен контрол върху компрометирано устройство. Нападателите могат дистанционно да манипулират устройството, да изпълняват опасни команди и да поддържат достъп за продължителни периоди без знанието на потребителя.
• Разпространение и странично движение: Задните врати могат да улеснят разпространението на злонамерен софтуер в мрежата, като позволяват на нападателите да се придвижват странично от едно устройство към друго. Това може да доведе до широко разпространени инфекции, което прави предизвикателство за организациите да овладеят и изкоренят заплахата.
• Внедряване на рансъмуер: Backdoors може да служи като входна точка за внедряване на криптиращи файлове с рансъмуер на заразеното устройство или мрежа. След това престъпниците искат откуп за ключа за дешифриране, прекъсвайки нормалните операции и причинявайки финансови загуби.
• Компрометирана цялост на системата: Задните врати могат да компрометират целостта на системата чрез модифициране или деактивиране на функциите за сигурност. Това може да доведе до редица проблеми, включително невъзможност за откриване или премахване на зловреден софтуер, оставяйки устройството уязвимо за по-нататъшна експлоатация.
• Атаки във веригата за доставки: Задните врати могат да бъдат инжектирани в софтуер или фърмуер по време на процеса на веригата за доставки. Устройства с предварително инсталирани задни вратички могат да бъдат разпространени на нищо неподозиращи потребители, представлявайки значителна заплаха за физически лица, фирми и дори критична инфраструктура.

За смекчаване на тези опасности е от основно значение за лицата и организациите да създадат стабилни мерки за киберсигурност, включително редовни софтуерни актуализации, решения против зловреден софтуер, наблюдение на мрежата и обучение на потребителите за разпознаване и избягване на потенциални заплахи.