Multi-License Discount Quote
Databáze hrozeb Backdoors Zadní vrátka TinyTurla-NG

Zadní vrátka TinyTurla-NG

V roce Mezo v roce Backdoors, Advanced Persistent Threat (APT), Stealers
Přeložit do:
Čeština

Aktér hrozby Turla, o kterém se věří, že ho podporuje Rusko, byl pozorován, jak v kampani trvající tři měsíce používá nová zadní vrátka jménem TinyTurla-NG. Útočná operace se koncem roku 2023 konkrétně zaměřovala na nevládní organizace v Polsku. Podobně jako její předchůdce TinyTurla funguje TinyTurla-NG jako kompaktní zadní vrátka „poslední záchrany“. Je strategicky nasazen, aby zůstal nečinný, dokud všechny ostatní mechanismy neoprávněného přístupu nebo zadních vrátek na kompromitovaných systémech buď selžou, nebo nebudou objeveny.

TinyTurla-NG, pojmenovaný pro svou podobnost s TinyTurla, je dalším implantátem využívaným nepřátelským kolektivem při invazích zaměřených na USA, Německo a Afghánistán minimálně od roku 2020. Společnost zabývající se kybernetickou bezpečností původně zdokumentovala TinyTurla v září 2021.

Skupina Turla APT kompromitovala cíle v souladu se zájmy Ruska

Aktéři hrozeb známí jako specialisté na kybernetickou bezpečnost sledují Turlu pod různými přezdívkami, včetně Iron Hunter, Pensive Ursa, Secret Blizzard (dříve Krypton ), Snake , Uroburos a Venomous Bear. Tato hackerská skupina je přidružena k ruskému státu a napojena na jeho Federální bezpečnostní službu (FSB).

V posledních měsících se Turla konkrétně zaměřila na obranný sektor na Ukrajině a ve východní Evropě a použila nová zadní vrátka založená na .NET s názvem DeliveryCheck. Souběžně s hrozbami vylepšil svůj dlouhodobý implantát druhé fáze Kazuar , který se používá minimálně od roku 2017.

Nejnovější kampaň obsahující TinyTurla-NG se datuje do konce roku 2023 a údajně pokračovala až do 27. ledna 2024. Existuje však podezření, že zákeřná aktivita mohla začít již v listopadu 2023 na základě dat kompilace souvisejícího malwaru. .

TinyTurla-NG se používá k doručování malwaru Infostealer

Způsob distribuce zadních vrátek TinyTurla-NG zůstává v současnosti neznámý. Bylo však pozorováno, že jako koncové body Command-and-Control (C2) se využívají kompromitované weby založené na WordPressu. Tyto webové stránky slouží k načítání a provádění instrukcí, což umožňuje TinyTurla-NG spouštět příkazy prostřednictvím PowerShellu nebo příkazového řádku (cmd.exe) a usnadňovat stahování/nahrávání souborů.

Kromě toho TinyTurla-NG slouží jako kanál pro poskytování TurlaPower-NG, který se skládá ze skriptů PowerShell navržených k exfiltraci klíčových informací používaných k zabezpečení databází hesel oblíbeného softwaru pro správu hesel. Exfiltrovaná data jsou obvykle zabalena do archivu ZIP.

Tato kampaň vykazuje vysokou úroveň cílení a zaměřuje se na vybraný počet organizací, přičemž potvrzení je v současnosti omezeno na organizace se sídlem v Polsku. Kampaň se vyznačuje silnou kompartmentalizací, kdy několik kompromitovaných webů sloužících jako C2 interaguje pouze s omezeným počtem vzorků. Díky této struktuře je obtížné přeorientovat se z jednoho vzorku/C2 na jiné v rámci stejné infrastruktury.

Zadní vrátka umožňují aktérům hrozeb provádět různé ohrožující činnosti

Zařízení infikovaná malwarem typu backdoor představují značná nebezpečí, včetně:

  • Neoprávněný přístup: Zadní vrátka poskytují kyberzločincům tajný vstupní bod do zařízení. Po infikování mohou útočníci získat neoprávněný přístup a ohrozit citlivá data, osobní informace nebo duševní vlastnictví.
  • Krádež dat a špionáž: Backdoors lze využít k pronikání důvěrných informací, jako jsou finanční záznamy, osobní údaje nebo obchodní strategie. Tato shromážděná data mohou být použita ke krádeži identity, firemní špionáži nebo prodeji na temném webu.
  • Trvalá kontrola: Zadní vrátka často umožňují trvalou kontrolu nad napadeným zařízením. Útočníci mohou na dálku manipulovat se zařízením, provádět nebezpečné příkazy a udržovat přístup po dlouhou dobu bez vědomí uživatele.
  • Propagace a laterální pohyb: Zadní vrátka mohou usnadnit šíření malwaru v rámci sítě tím, že umožňují útočníkům pohybovat se laterálně z jednoho zařízení na druhé. To může vést k rozsáhlým infekcím, což ztěžuje organizacím zvládnutí a vymýcení hrozby.
  • Nasazení ransomwaru: Zadní vrátka mohou sloužit jako vstupní bod pro nasazení souborů šifrujících ransomware na infikovaném zařízení nebo síti. Zločinci pak požadují výkupné za dešifrovací klíč, čímž naruší normální operace a způsobí finanční ztráty.
  • Narušená integrita systému: Backdoors mohou ohrozit integritu systému úpravou nebo deaktivací funkcí zabezpečení. To by mohlo vést k řadě problémů, včetně neschopnosti detekovat nebo odstranit malware, takže zařízení bude zranitelné vůči dalšímu zneužití.
  • Supply Chain Attacks: Backdoors lze vložit do softwaru nebo firmwaru během procesu dodavatelského řetězce. Zařízení s předinstalovanými zadními vrátky lze distribuovat nic netušícím uživatelům, což představuje významnou hrozbu pro jednotlivce, podniky a dokonce i kritickou infrastrukturu.

Ke zmírnění těchto nebezpečí je zásadní, aby jednotlivci a organizace nastavili robustní opatření v oblasti kybernetické bezpečnosti, včetně pravidelných aktualizací softwaru, řešení proti malwaru, monitorování sítě a vzdělávání uživatelů o rozpoznání potenciálních hrozeb a předcházení jim.

 

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
36,927
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...