TinyTurla-NG tagauks

On täheldatud, et Turla ähvardaja, keda arvatakse toetavat Venemaa, kasutab kolm kuud kestnud kampaanias uut tagaust nimega TinyTurla-NG. Rünnakuoperatsioon oli 2023. aasta lõpus suunatud just Poola valitsusvälistele organisatsioonidele. Sarnaselt eelkäijale TinyTurlale toimib TinyTurla-NG kompaktse viimase abinõuna. See on strateegiliselt juurutatud, et jääda seisma, kuni kõik muud volitamata juurdepääsu- või tagaukse mehhanismid ohustatud süsteemides on kas ebaõnnestunud või avastanud.

TinyTurla-NG, mis sai nime TinyTurla sarnasuse tõttu, on teine implantaat, mida vaenulik kollektiiv on kasutanud vähemalt 2020. aastast alates USA-sse, Saksamaale ja Afganistani sihitud sissetungides. Küberturvalisuse ettevõte dokumenteeris TinyTurla algselt 2021. aasta septembris.

Turla APT grupp on seadnud ohtu Venemaa huvidega kooskõlastatud eesmärgid

Küberturvalisuse spetsialistidena tuntud ohutegijad jälgivad Turlat erinevate varjunimede all, sealhulgas Iron Hunter, Pensive Ursa, Secret Blizzard (endine Krypton ), Snake , Uroburos ja Venomous Bear. See häkkerirühmitus on seotud Venemaa riigiga ja seotud selle föderaalse julgeolekuteenistusega (FSB).

Viimastel kuudel on Turla võtnud sihikule just Ukraina ja Ida-Euroopa kaitsesektori, kasutades uut .NET-põhist tagaust nimega DeliveryCheck. Samal ajal on ohunäitleja uuendanud oma kauaaegset teise etapi implantaati Kazuar , mis on olnud kasutusel vähemalt 2017. aastast.

Viimane TinyTurla-NG-ga seotud kampaania ulatus tagasi 2023. aasta lõpuni ja väidetavalt jätkus kuni 27. jaanuarini 2024. Siiski on kahtlus, et pahatahtlik tegevus võis alata juba 2023. aasta novembris, lähtudes seotud pahavara koostamise kuupäevadest. .

TinyTurla-NG-d kasutatakse Infostealeri pahavara kohaletoimetamiseks

TinyTurla-NG tagaukse levitamismeetod on praegu teadmata. Siiski on täheldatud, et see kasutab Command-and-Control (C2) lõpp-punktina ohustatud WordPressi-põhiseid veebisaite. Need veebisaidid on mõeldud juhiste hankimiseks ja täitmiseks, võimaldades TinyTurla-NG-l täita käske PowerShelli või käsuviiba (cmd.exe) kaudu ja hõlbustada failide allalaadimist/üleslaadimist.

Lisaks toimib TinyTurla-NG kanalina TurlaPower-NG edastamiseks, mis koosneb PowerShelli skriptidest, mis on loodud populaarsete paroolihaldustarkvara paroolide andmebaaside kaitsmiseks kasutatava olulise teabe väljafiltreerimiseks. Väljafiltreeritud andmed pakitakse tavaliselt ZIP-arhiivi.

Sellel kampaanial on kõrge sihtimise tase, keskendudes valitud arvule organisatsioonidele, kusjuures kinnitus on praegu piiratud Poolas asuvate organisatsioonidega. Kampaaniat iseloomustab tugev lahterdamine, kus mõned ohustatud veebisaidid, mis toimivad C2-dena, suhtlevad vaid piiratud arvu näidistega. See struktuur muudab ühest proovist/C2-st teistele sama infrastruktuuri piires pöördumise keeruliseks.

Tagauksed võimaldavad ähvardusnäitlejatel sooritada mitmesuguseid ähvardavaid tegevusi

Tagaukse pahavara ohtudega nakatunud seadmed kujutavad endast olulisi ohte, sealhulgas:

• Volitamata juurdepääs: tagauksed pakuvad küberkurjategijatele varajast sisenemispunkti seadmesse. Pärast nakatumist võivad ründajad saada volitamata juurdepääsu, ohustades tundlikke andmeid, isiklikku teavet või intellektuaalomandit.
• Andmete vargus ja spionaaž: tagauksi saab kasutada konfidentsiaalse teabe, näiteks finantsdokumentide, isikuandmete või äristrateegiate väljafiltreerimiseks. Neid kogutud andmeid võidakse kasutada identiteedivargusteks, ettevõtte spionaažiks või müüa Dark Web'is.
• Püsiv kontroll: tagauksed võimaldavad sageli püsivat kontrolli ohustatud seadme üle. Ründajad saavad seadmega eemalt manipuleerida, täita ohtlikke käske ja säilitada juurdepääsu pikema aja jooksul ilma kasutaja teadmata.
• Levitamine ja külgmine liikumine: tagauksed võivad hõlbustada pahavara levikut võrgus, võimaldades ründajatel liikuda külgsuunas ühest seadmest teise. See võib viia laialt levinud nakkusteni, muutes organisatsioonide jaoks ohu ohjeldamise ja likvideerimise keeruliseks.
• Lunavara juurutamine: tagauksed võivad olla sisenemispunktiks lunavara krüpteerivate failide juurutamiseks nakatunud seadmes või võrgus. Seejärel nõuavad kurjategijad dekrüpteerimisvõtme eest lunaraha, häirides tavapärast tegevust ja põhjustades rahalist kahju.
• Ohustatud süsteemi terviklikkus: tagauksed võivad süsteemi terviklikkust kahjustada, muutes või keelates turvafunktsioone. See võib põhjustada mitmesuguseid probleeme, sealhulgas suutmatust pahavara tuvastada või eemaldada, jättes seadme edasise ärakasutamise suhtes haavatavaks.
• Tarneahela rünnakud: tarneahela protsessi käigus saab tarkvarasse või püsivarasse sisestada tagauksi. Eelinstallitud tagauksega seadmeid saab levitada pahaaimamatutele kasutajatele, mis kujutab endast olulist ohtu üksikisikutele, ettevõtetele ja isegi kriitilisele infrastruktuurile.

Nende ohtude leevendamiseks on oluline, et üksikisikud ja organisatsioonid võtaksid kasutusele tugevad küberjulgeolekumeetmed, sealhulgas regulaarsed tarkvaravärskendused, pahavaravastased lahendused, võrgu jälgimine ja kasutajate koolitamine võimalike ohtude äratundmise ja vältimise kohta.