Multi-License Discount Quote
Βάση δεδομένων απειλών Backdoors TinyTurla-NG Backdoor

TinyTurla-NG Backdoor

Μέχρι το Mezo το Backdoors, Advanced Persistent Threat (APT), Stealers
Μετάφραση σε:
Ελληνικά

Ο ηθοποιός της απειλής Turla, που πιστεύεται ότι υποστηρίζεται από τη Ρωσία, έχει παρατηρηθεί να χρησιμοποιεί μια νέα κερκόπορτα που ονομάζεται TinyTurla-NG σε μια εκστρατεία που διαρκεί τρεις μήνες. Η επιχείρηση επίθεσης στόχευε ειδικά μη κυβερνητικές οργανώσεις στην Πολωνία προς τα τέλη του 2023. Παρόμοια με τον προκάτοχό του, το TinyTurla, το TinyTurla-NG λειτουργεί ως μια συμπαγής «έσχατη λύση» κερκόπορτα. Έχει αναπτυχθεί στρατηγικά για να παραμείνει αδρανής έως ότου όλοι οι άλλοι μη εξουσιοδοτημένοι μηχανισμοί πρόσβασης ή κερκόπορτας στα παραβιασμένα συστήματα είτε αποτύχουν είτε ανακαλυφθούν.

Ονομάστηκε λόγω της ομοιότητάς του με το TinyTurla, το TinyTurla-NG είναι ένα άλλο εμφύτευμα που χρησιμοποιείται από την αντίπαλη ομάδα σε εισβολές που στοχεύουν τις ΗΠΑ, τη Γερμανία και το Αφγανιστάν τουλάχιστον από το 2020. Η εταιρεία κυβερνοασφάλειας κατέγραψε αρχικά το TinyTurla τον Σεπτέμβριο του 2021.

Ο Όμιλος Turla APT έχει συμβιβάσει στόχους που ευθυγραμμίζονται με τα συμφέροντα της Ρωσίας

Οι ηθοποιοί απειλών που είναι γνωστοί ως ειδικοί της κυβερνοασφάλειας παρακολουθούν την Turla με διάφορα ψευδώνυμα, συμπεριλαμβανομένων των Iron Hunter, Pensive Ursa, Secret Blizzard (πρώην Krypton ), Snake , Uroburos και Venomous Bear. Αυτή η ομάδα χάκερ είναι συνδεδεμένη με το ρωσικό κράτος και συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB).

Τους τελευταίους μήνες, η Turla στόχευσε συγκεκριμένα τον αμυντικό τομέα στην Ουκρανία και την Ανατολική Ευρώπη, χρησιμοποιώντας μια νέα κερκόπορτα που βασίζεται σε .NET που ονομάζεται DeliveryCheck. Ταυτόχρονα, ο ηθοποιός της απειλής έχει αναβαθμίσει το μακροχρόνιο εμφύτευμά του δεύτερου σταδίου, Kazuar , το οποίο χρησιμοποιείται τουλάχιστον από το 2017.

Η πιο πρόσφατη καμπάνια με το TinyTurla-NG χρονολογείται από τα τέλη του 2023 και σύμφωνα με πληροφορίες συνεχίστηκε μέχρι τις 27 Ιανουαρίου 2024. Ωστόσο, υπάρχουν υποψίες ότι η κακόβουλη δραστηριότητα μπορεί να είχε ξεκινήσει ήδη από τον Νοέμβριο του 2023 με βάση τις ημερομηνίες συλλογής του σχετικού κακόβουλου λογισμικού .

Το TinyTurla-NG χρησιμοποιείται για την παράδοση κακόβουλου λογισμικού Infostealer

Η μέθοδος διανομής της κερκόπορτας TinyTurla-NG παραμένει άγνωστη προς το παρόν. Ωστόσο, έχει παρατηρηθεί ότι χρησιμοποιεί παραβιασμένους ιστότοπους που βασίζονται σε WordPress ως τελικά σημεία Command-and-Control (C2). Αυτοί οι ιστότοποι χρησιμεύουν για την ανάκτηση και την εκτέλεση οδηγιών, επιτρέποντας στο TinyTurla-NG να εκτελεί εντολές μέσω του PowerShell ή της Γραμμής εντολών (cmd.exe) και να διευκολύνει τις δραστηριότητες λήψης/φόρτωσης αρχείων.

Επιπλέον, το TinyTurla-NG χρησιμεύει ως αγωγός για την παράδοση του TurlaPower-NG, το οποίο αποτελείται από σενάρια PowerShell που έχουν σχεδιαστεί για την εξαγωγή κρίσιμων πληροφοριών που χρησιμοποιούνται για την ασφάλεια βάσεων δεδομένων κωδικών πρόσβασης δημοφιλούς λογισμικού διαχείρισης κωδικών πρόσβασης. Τα δεδομένα που έχουν εξαχθεί συσκευάζονται συνήθως σε ένα αρχείο ZIP.

Αυτή η καμπάνια παρουσιάζει υψηλό επίπεδο στόχευσης, εστιάζοντας σε έναν επιλεγμένο αριθμό οργανισμών, ενώ η επιβεβαίωση αυτή τη στιγμή περιορίζεται σε αυτούς που εδρεύουν στην Πολωνία. Η καμπάνια χαρακτηρίζεται από ισχυρή τμηματοποίηση, όπου μερικοί παραβιασμένοι ιστότοποι που λειτουργούν ως C2 αλληλεπιδρούν μόνο με περιορισμένο αριθμό δειγμάτων. Αυτή η δομή καθιστά δύσκολη την περιστροφή από ένα δείγμα/C2 σε άλλα μέσα στην ίδια υποδομή.

Οι κερκόπορτες επιτρέπουν στους ηθοποιούς απειλών να εκτελούν διάφορες απειλητικές δραστηριότητες

Οι συσκευές που έχουν μολυνθεί με απειλές από κακόβουλο λογισμικό backdoor ενέχουν σημαντικούς κινδύνους, όπως:

  • Μη εξουσιοδοτημένη πρόσβαση: Οι κερκόπορτες παρέχουν ένα κρυφό σημείο εισόδου για εγκληματίες του κυβερνοχώρου σε μια συσκευή. Μόλις μολυνθούν, οι εισβολείς μπορούν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση, θέτοντας σε κίνδυνο ευαίσθητα δεδομένα, προσωπικές πληροφορίες ή πνευματική ιδιοκτησία.
  • Κλοπή δεδομένων και κατασκοπεία: Τα backdoors μπορούν να αξιοποιηθούν για την εκμετάλλευση εμπιστευτικών πληροφοριών, όπως οικονομικά αρχεία, προσωπικά στοιχεία ή επιχειρηματικές στρατηγικές. Αυτά τα δεδομένα που συλλέγονται μπορούν να χρησιμοποιηθούν για κλοπή ταυτότητας, εταιρική κατασκοπεία ή πώληση στο Dark Web.
  • Μόνιμος έλεγχος: Οι κερκόπορτες συχνά επιτρέπουν τον μόνιμο έλεγχο μιας παραβιασμένης συσκευής. Οι εισβολείς μπορούν να χειριστούν τη συσκευή εξ αποστάσεως, να εκτελέσουν μη ασφαλείς εντολές και να διατηρήσουν την πρόσβαση για μεγάλα χρονικά διαστήματα εν αγνοία του χρήστη.
  • Διάδοση και πλευρική κίνηση: Οι κερκόπορτες μπορεί να διευκολύνουν την εξάπλωση κακόβουλου λογισμικού εντός ενός δικτύου επιτρέποντας στους εισβολείς να μετακινούνται πλευρικά από τη μια συσκευή στην άλλη. Αυτό μπορεί να οδηγήσει σε εκτεταμένες λοιμώξεις, καθιστώντας δύσκολο για τους οργανισμούς να περιορίσουν και να εξαλείψουν την απειλή.
  • Ανάπτυξη ransomware: Τα Backdoors μπορούν να χρησιμεύσουν ως σημείο εισόδου για την ανάπτυξη αρχείων κρυπτογράφησης ransomware στη μολυσμένη συσκευή ή δίκτυο. Στη συνέχεια, οι εγκληματίες απαιτούν λύτρα για το κλειδί αποκρυπτογράφησης, διακόπτοντας την κανονική λειτουργία και προκαλώντας οικονομικές απώλειες.
  • Παραβιασμένη ακεραιότητα συστήματος: Οι θυρίδες ασφαλείας ενδέχεται να θέσουν σε κίνδυνο την ακεραιότητα ενός συστήματος τροποποιώντας ή απενεργοποιώντας τις λειτουργίες ασφαλείας. Αυτό θα μπορούσε να οδηγήσει σε μια σειρά ζητημάτων, συμπεριλαμβανομένης της αδυναμίας εντοπισμού ή κατάργησης του κακόβουλου λογισμικού, αφήνοντας τη συσκευή ευάλωτη σε περαιτέρω εκμετάλλευση.
  • Επιθέσεις εφοδιαστικής αλυσίδας: Οι κερκόπορτες μπορούν να εγχυθούν σε λογισμικό ή υλικολογισμικό κατά τη διαδικασία της αλυσίδας εφοδιασμού. Οι συσκευές με προεγκατεστημένες κερκόπορτες μπορούν να διανεμηθούν σε ανυποψίαστους χρήστες, αποτελώντας σημαντική απειλή για άτομα, επιχειρήσεις, ακόμη και κρίσιμες υποδομές.

Για τον μετριασμό αυτών των κινδύνων, είναι θεμελιώδες για άτομα και οργανισμούς να θεσπίζουν ισχυρά μέτρα κυβερνοασφάλειας, συμπεριλαμβανομένων τακτικών ενημερώσεων λογισμικού, λύσεων κατά του κακόβουλου λογισμικού, παρακολούθησης δικτύου και εκπαίδευσης των χρηστών σχετικά με την αναγνώριση και την αποφυγή πιθανών απειλών.

 

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
36,927
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...