Multi-License Discount Quote
Trusseldatabase Backdoors TinyTurla-NG Bagdør

TinyTurla-NG Bagdør

Med Mezo i Backdoors, Advanced Persistent Threat (APT), Stealers
Oversæt til:
Dansk

Turla-trusselsaktøren, der menes at være støttet af Rusland, er blevet observeret bruge en ny bagdør ved navn TinyTurla-NG i en kampagne, der strækker sig over tre måneder. Angrebsoperationen var specifikt rettet mod ikke-statslige organisationer i Polen mod slutningen af 2023. I lighed med sin forgænger, TinyTurla, fungerer TinyTurla-NG som en kompakt 'sidste udvej' bagdør. Det er strategisk implementeret for at forblive i dvale, indtil al anden uautoriseret adgang eller bagdørsmekanismer på de kompromitterede systemer enten er fejlet eller blevet opdaget.

TinyTurla-NG er opkaldt efter dets lighed med TinyTurla og er et andet implantat, der er brugt af det modstandsdygtige kollektiv i indtrængen rettet mod USA, Tyskland og Afghanistan siden mindst 2020. Cybersikkerhedsfirmaet dokumenterede oprindeligt TinyTurla i september 2021.

Turla APT-gruppen har forenet mål, der er tilpasset Ruslands interesser

Trusselsaktørerne kendt som cybersikkerhedsspecialister sporer Turla under forskellige aliasser, herunder Iron Hunter, Pensive Ursa, Secret Blizzard (tidligere Krypton ), Snake , Uroburos og Venomous Bear. Denne hackergruppe er tilknyttet den russiske stat og knyttet til dens føderale sikkerhedstjeneste (FSB).

I de seneste måneder har Turla specifikt målrettet forsvarssektoren i Ukraine og Østeuropa ved at bruge en ny .NET-baseret bagdør ved navn DeliveryCheck. Samtidig har trusselsaktøren opgraderet sit mangeårige implantat i anden fase, Kazuar , som har været i brug siden mindst 2017.

Den seneste kampagne med TinyTurla-NG går tilbage til slutningen af 2023 og fortsatte efter sigende indtil den 27. januar 2024. Der er dog mistanke om, at den ondsindede aktivitet kan være begyndt så tidligt som i november 2023 baseret på kompileringsdatoerne for den tilknyttede malware .

TinyTurla-NG bruges til levering af Infostealer-malware

Distributionsmetoden for TinyTurla-NG-bagdøren er stadig ukendt på nuværende tidspunkt. Det er dog blevet observeret at bruge kompromitterede WordPress-baserede websteder som Command-and-Control (C2) slutpunkter. Disse websteder tjener til at hente og udføre instruktioner, hvilket gør det muligt for TinyTurla-NG at udføre kommandoer via PowerShell eller kommandoprompt (cmd.exe) og lette download/upload af filer.

Derudover fungerer TinyTurla-NG som en kanal til levering af TurlaPower-NG, som består af PowerShell-scripts, der er designet til at eksfiltrere afgørende information, der bruges til at sikre adgangskodedatabaser af populær adgangskodestyringssoftware. De eksfiltrerede data pakkes typisk ind i et ZIP-arkiv.

Denne kampagne udviser et højt målretningsniveau med fokus på et udvalgt antal organisationer, med bekræftelse i øjeblikket begrænset til dem, der er baseret i Polen. Kampagnen er kendetegnet ved stærk opdeling, hvor nogle få kompromitterede hjemmesider, der fungerer som C2'er, interagerer med kun et begrænset antal samples. Denne struktur gør det udfordrende at pivotere fra én prøve/C2 til andre inden for den samme infrastruktur.

Bagdøre giver trusselsaktører mulighed for at udføre forskellige truende aktiviteter

Enheder, der er inficeret med bagdørs malware-trusler udgør betydelige farer, herunder:

  • Uautoriseret adgang: Bagdøre giver et snigende indgangspunkt for cyberkriminelle til en enhed. Når angribere først er blevet inficeret, kan de få uautoriseret adgang, kompromittere følsomme data, personlige oplysninger eller intellektuel ejendom.
  • Datatyveri og spionage: Bagdøre kan udnyttes til at udslette fortrolige oplysninger, såsom økonomiske optegnelser, personlige oplysninger eller forretningsstrategier. Disse indsamlede data kan bruges til identitetstyveri, virksomhedsspionage eller sælges på Dark Web.
  • Vedvarende kontrol: Bagdøre muliggør ofte vedvarende kontrol over en kompromitteret enhed. Angribere kan fjernmanipulere enheden, udføre usikre kommandoer og bevare adgangen i længere perioder uden brugerens viden.
  • Udbredelse og lateral bevægelse: Bagdøre kan lette spredningen af malware inden for et netværk ved at tillade angribere at flytte sideværts fra én enhed til en anden. Dette kan føre til udbredte infektioner, hvilket gør det udfordrende for organisationer at begrænse og udrydde truslen.
  • Ransomware-implementering: Bagdøre kan tjene som et indgangspunkt for implementering af ransomware-kryptering af filer på den inficerede enhed eller netværk. De kriminelle kræver derefter løsesum for dekrypteringsnøglen, hvilket forstyrrer normal drift og forårsager økonomiske tab.
  • Kompromitteret systemintegritet: Bagdøre kan kompromittere et systems integritet ved at ændre eller deaktivere sikkerhedsfunktioner. Dette kan føre til en række problemer, herunder manglende evne til at opdage eller fjerne malware, hvilket gør enheden sårbar over for yderligere udnyttelse.
  • Supply Chain-angreb: Bagdøre kan injiceres i software eller firmware under forsyningskædeprocessen. Enheder med forudinstallerede bagdøre kan distribueres til intetanende brugere, hvilket udgør en betydelig trussel mod enkeltpersoner, virksomheder og endda kritisk infrastruktur.

For at afbøde disse farer er det grundlæggende for enkeltpersoner og organisationer at opsætte robuste cybersikkerhedsforanstaltninger, herunder regelmæssige softwareopdateringer, anti-malware-løsninger, netværksovervågning og brugeruddannelse om at genkende og undgå potentielle trusler.

 

Trending

Mest sete

Indlæser...