Multi-License Discount Quote
پایگاه داده تهدید Backdoors درب پشتی TinyTurla-NG

درب پشتی TinyTurla-NG

تا Mezo در Backdoors, Advanced Persistent Threat (APT), Stealers
ترجمه به:
فارسی

بازیگر تهدید تورلا، که گمان می رود توسط روسیه حمایت می شود، مشاهده شده است که از یک درپشتی جدید به نام TinyTurla-NG در یک کمپین سه ماهه استفاده می کند. عملیات حمله به طور خاص سازمان‌های غیردولتی در لهستان را در اواخر سال 2023 هدف قرار داد. مانند نسخه قبلی خود، TinyTurla، TinyTurla-NG به عنوان یک درب پشتی فشرده «آخرین راه‌حل» عمل می‌کند. از نظر استراتژیک مستقر شده است تا زمانی که سایر مکانیسم‌های دسترسی غیرمجاز یا درپشتی در سیستم‌های آسیب‌دیده شکست بخورند یا کشف نشوند، خاموش بماند.

TinyTurla-NG که به دلیل شباهت آن به TinyTurla نامگذاری شده است، ایمپلنت دیگری است که توسط گروه متخاصم در نفوذهایی که ایالات متحده، آلمان و افغانستان را هدف قرار می دهند حداقل از سال 2020 استفاده می شود. این شرکت امنیت سایبری ابتدا TinyTurla را در سپتامبر 2021 مستند کرد.

گروه Turla APT اهدافی را که با منافع روسیه هماهنگ شده اند، هماهنگ کرده است

بازیگران تهدید معروف به متخصصان امنیت سایبری تورلا را با نام‌های مستعار مختلف از جمله شکارچی آهنی، خرس متفکر، بلیزارد مخفی ( کریپتون سابق)، اسنیک ، اوروبوروس و خرس سمی دنبال می‌کنند. این گروه هکری وابسته به دولت روسیه و مرتبط با سرویس امنیت فدرال آن (FSB) است.

در ماه های اخیر، Turla به طور خاص بخش دفاعی در اوکراین و اروپای شرقی را هدف قرار داده است و از یک درپشتی جدید مبتنی بر دات نت به نام DeliveryCheck استفاده کرده است. به طور همزمان، عامل تهدید، ایمپلنت مرحله دوم طولانی مدت خود، Kazuar را ارتقا داده است، که حداقل از سال 2017 مورد استفاده قرار گرفته است.

جدیدترین کمپین مربوط به TinyTurla-NG به پایان سال 2023 بازمی‌گردد و طبق گزارش‌ها تا 27 ژانویه 2024 ادامه داشت. با این حال، بر اساس تاریخ‌های گردآوری بدافزار مرتبط، گمان‌هایی وجود دارد که فعالیت مخرب ممکن است از نوامبر 2023 آغاز شده باشد. .

TinyTurla-NG برای تحویل بدافزار Infostealer استفاده می شود

روش توزیع درب پشتی TinyTurla-NG در حال حاضر ناشناخته باقی مانده است. با این حال، مشاهده شده است که از وب سایت های مبتنی بر وردپرس به خطر افتاده به عنوان نقاط پایانی Command-and-Control (C2) استفاده می کند. این وب‌سایت‌ها برای بازیابی و اجرای دستورالعمل‌ها، به TinyTurla-NG اجازه می‌دهند تا دستورات را از طریق PowerShell یا Command Prompt (cmd.exe) اجرا کند و فعالیت‌های دانلود/آپلود فایل را تسهیل کند.

علاوه بر این، TinyTurla-NG به عنوان مجرای برای ارائه TurlaPower-NG عمل می‌کند، که شامل اسکریپت‌های PowerShell است که برای استخراج اطلاعات حیاتی مورد استفاده برای ایمن کردن پایگاه‌های داده رمز عبور نرم‌افزار مدیریت رمز عبور محبوب طراحی شده‌اند. داده های استخراج شده معمولاً در یک آرشیو ZIP بسته بندی می شوند.

این کمپین سطح بالایی از هدف‌گیری را نشان می‌دهد، با تمرکز بر تعدادی منتخب از سازمان‌ها، با تأیید در حال حاضر محدود به سازمان‌هایی که در لهستان مستقر هستند. این کمپین با تقسیم بندی قوی مشخص می شود، که در آن تعداد کمی از وب سایت های در معرض خطر که به عنوان C2 کار می کنند تنها با تعداد محدودی از نمونه ها تعامل دارند. این ساختار، چرخش از یک نمونه/C2 به نمونه های دیگر را در همان زیرساخت چالش برانگیز می کند.

درهای پشتی به بازیگران تهدید اجازه انجام فعالیت های تهدیدآمیز مختلف را می دهند

دستگاه های آلوده به تهدیدات بدافزار پشتی خطرات قابل توجهی را به همراه دارند، از جمله:

  • دسترسی غیرمجاز: درهای پشتی یک نقطه ورود مخفیانه برای مجرمان سایبری به دستگاه ایجاد می کنند. پس از آلوده شدن، مهاجمان می توانند دسترسی غیرمجاز داشته باشند، داده های حساس، اطلاعات شخصی یا مالکیت معنوی را به خطر بیاندازند.
  • سرقت داده و جاسوسی: درهای پشتی می توانند برای استخراج اطلاعات محرمانه مانند سوابق مالی، جزئیات شخصی یا استراتژی های تجاری مورد سوء استفاده قرار گیرند. این داده‌های جمع‌آوری‌شده ممکن است برای سرقت هویت، جاسوسی شرکتی یا فروخته شدن در Dark Web استفاده شوند.
  • کنترل مداوم: درهای پشتی اغلب کنترل مداوم بر روی یک دستگاه در معرض خطر را امکان پذیر می کنند. مهاجمان می توانند از راه دور دستگاه را دستکاری کنند، دستورات ناامن را اجرا کنند و دسترسی را برای مدت طولانی بدون اطلاع کاربر حفظ کنند.
  • انتشار و حرکت جانبی: درهای پشتی ممکن است با اجازه دادن به مهاجمان برای جابجایی جانبی از یک دستگاه به دستگاه دیگر، گسترش بدافزار را در یک شبکه تسهیل کنند. این می تواند منجر به عفونت های گسترده شود و مهار و ریشه کن کردن تهدید را برای سازمان ها چالش برانگیز می کند.
  • استقرار باج‌افزار: درهای پشتی می‌توانند به عنوان نقطه ورود برای استقرار فایل‌های رمزگذاری باج‌افزار در دستگاه یا شبکه آلوده عمل کنند. مجرمان سپس برای کلید رمزگشایی تقاضای باج می کنند که در عملیات عادی اختلال ایجاد می کند و باعث خسارات مالی می شود.
  • یکپارچگی سیستم به خطر افتاده: درهای پشتی ممکن است با تغییر یا غیرفعال کردن ویژگی های امنیتی، یکپارچگی یک سیستم را به خطر بیندازند. این می تواند منجر به طیف وسیعی از مشکلات، از جمله ناتوانی در شناسایی یا حذف بدافزار شود، که دستگاه را در برابر بهره برداری بیشتر آسیب پذیر می کند.
  • حملات زنجیره تامین: درهای پشتی را می توان در طول فرآیند زنجیره تامین به نرم افزار یا سیستم عامل تزریق کرد. دستگاه‌های دارای درب پشتی از پیش نصب شده را می‌توان بین کاربران ناآگاه توزیع کرد که تهدیدی قابل توجه برای افراد، مشاغل و حتی زیرساخت‌های حیاتی است.

برای کاهش این خطرات، برای افراد و سازمان‌ها ضروری است که اقدامات امنیتی سایبری قوی، از جمله به‌روزرسانی‌های منظم نرم‌افزار، راه‌حل‌های ضد بدافزار، نظارت بر شبکه، و آموزش کاربران در مورد شناسایی و اجتناب از تهدیدات بالقوه را انجام دهند.

 

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
36,927
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...