TinyTurla-NG takaovi

Venäjän tukeman Turlan uhkatekijän on havaittu käyttävän uutta TinyTurla-NG-nimistä takaovea kolmen kuukauden kampanjassa. Hyökkäysoperaatio kohdistui erityisesti Puolan kansalaisjärjestöihin vuoden 2023 lopulla. Kuten edeltäjänsä TinyTurla, TinyTurla-NG toimii kompaktina "viimeisenä keinona" takaovena. Se on strategisesti otettu käyttöön pysymään lepotilassa, kunnes kaikki muut luvaton pääsy tai takaoven mekanismit vaarantuneissa järjestelmissä ovat joko epäonnistuneet tai löydetty.

TinyTurla-NG on toinen implantti, jota vastustajakollektiivi on käyttänyt Yhdysvaltoihin, Saksaan ja Afganistaniin kohdistuneissa tunkeutumisissa ainakin vuodesta 2020 lähtien, koska se on nimetty muistuttamisestaan TinyTurlaan. Kyberturvallisuusyritys dokumentoi TinyTurlan alun perin syyskuussa 2021.

Turla APT -konserni on tehnyt kompromisseja Venäjän etujen mukaisista tavoitteista

Kyberturvallisuusasiantuntijoina tunnetut uhkatoimijat seuraavat Turlaa eri aliaksilla, mukaan lukien Iron Hunter, Pensive Ursa, Secret Blizzard (entinen Krypton ), Snake , Uroburos ja Venomous Bear. Tämä hakkeriryhmä on sidoksissa Venäjän valtioon ja sen liittovaltion turvallisuuspalveluun (FSB).

Viime kuukausina Turla on keskittynyt erityisesti puolustussektoriin Ukrainassa ja Itä-Euroopassa hyödyntäen uutta .NET-pohjaista DeliveryCheck-takaovea. Samaan aikaan uhkanäyttelijä on päivittänyt pitkäaikaista toisen vaiheen implanttiaan, Kazuaria , joka on ollut käytössä ainakin vuodesta 2017 lähtien.

Viimeisin TinyTurla-NG:tä sisältävä kampanja juontaa juurensa vuoden 2023 lopulle ja jatkui tiettävästi 27.1.2024 asti. Epäilyksiä haitallisen toiminnan saattaneen alkaa kuitenkin jo marraskuussa 2023 liittyvien haittaohjelmien käännöspäivien perusteella. .

TinyTurla-NG:tä käytetään Infostealer-haittaohjelmien toimittamiseen

TinyTurla-NG-takaoven jakelumenetelmä on toistaiseksi tuntematon. Sen on kuitenkin havaittu käyttävän vaarantuneita WordPress-pohjaisia verkkosivustoja Command-and-Control (C2) -päätepisteinä. Nämä verkkosivustot noutavat ja suorittavat ohjeita, jolloin TinyTurla-NG voi suorittaa komentoja PowerShellin tai komentokehotteen (cmd.exe) kautta ja helpottaa tiedostojen latausta/latausta.

Lisäksi TinyTurla-NG toimii kanavana TurlaPower-NG:n toimittamiseen, joka koostuu PowerShell-skripteistä, jotka on suunniteltu poistamaan tärkeitä tietoja, joita käytetään suosittujen salasananhallintaohjelmistojen salasanatietokantojen suojaamiseen. Suodatetut tiedot pakataan yleensä ZIP-arkistoon.

Tämän kampanjan kohdistus on korkea, ja se keskittyy tiettyihin organisaatioihin, ja tällä hetkellä vahvistus on rajoitettu Puolassa toimiviin organisaatioihin. Kampanjalle on ominaista voimakas lokeroituminen, jossa muutamat C2:na toimivat vaarantuneet verkkosivustot ovat vuorovaikutuksessa vain rajoitetun määrän näytteitä kanssa. Tämä rakenne tekee haastavaksi kääntyä yhdestä näytteestä/C2:sta muihin saman infrastruktuurin sisällä.

Takaovien avulla uhkanäyttelijät voivat suorittaa erilaisia uhkaavia toimintoja

Takaoven haittaohjelmauhkien saastuttamat laitteet aiheuttavat merkittäviä vaaroja, kuten:

• Luvaton pääsy: Takaovet tarjoavat kyberrikollisille salatun pääsyn laitteeseen. Kun hyökkääjät ovat saaneet tartunnan, he voivat päästä luvattomasti käsiksi ja vaarantamaan arkaluonteisia tietoja, henkilökohtaisia tietoja tai immateriaalioikeuksia.
• Tietovarkaus ja vakoilu: Takaovia voidaan hyödyntää luottamuksellisten tietojen, kuten taloustietojen, henkilötietojen tai liiketoimintastrategioiden, suodattamiseen. Näitä kerättyjä tietoja voidaan käyttää identiteettivarkauksiin, yritysvakoiluihin tai myydä Dark Webissä.
• Pysyvä ohjaus: Takaovet mahdollistavat usein vaarantuneen laitteen jatkuvan hallinnan. Hyökkääjät voivat etäkäsitellä laitetta, suorittaa vaarallisia komentoja ja ylläpitää pääsyä pitkiä aikoja käyttäjän tietämättä.
• Levitys ja sivuttaisliike: Takaovet voivat helpottaa haittaohjelmien leviämistä verkossa sallimalla hyökkääjien siirtyä sivusuunnassa laitteesta toiseen. Tämä voi johtaa laajalle levinneisiin infektioihin, mikä tekee uhan hillitsemisestä ja poistamisesta organisaatioille haastavaa.
• Ransomware-käyttöönotto: Backdoors voi toimia sisääntulopisteenä ransomware-salaavien tiedostojen käyttöönotossa tartunnan saaneessa laitteessa tai verkossa. Rikolliset vaativat sitten lunnaita salauksenpurkuavaimesta, mikä häiritsee normaalia toimintaa ja aiheuttaa taloudellisia menetyksiä.
• Järjestelmän eheys vaarantunut: Takaovet voivat vaarantaa järjestelmän eheyden muokkaamalla tai poistamalla suojausominaisuuksia käytöstä. Tämä voi johtaa useisiin ongelmiin, kuten kyvyttömyyteen havaita tai poistaa haittaohjelmia, jolloin laite on alttiina jatkokäytölle.
• Supply Chain Attacks: Takaovet voidaan ruiskuttaa ohjelmistoon tai laiteohjelmistoon toimitusketjuprosessin aikana. Laitteet, joissa on esiasennetut takaovet, voidaan jakaa pahaa-aavistamattomille käyttäjille, mikä muodostaa merkittävän uhan yksilöille, yrityksille ja jopa kriittiselle infrastruktuurille.

Näiden vaarojen lieventämiseksi on olennaista, että yksilöt ja organisaatiot ottavat käyttöön tehokkaita kyberturvallisuustoimenpiteitä, mukaan lukien säännölliset ohjelmistopäivitykset, haittaohjelmien torjuntaratkaisut, verkon valvonta ja käyttäjäkoulutus mahdollisten uhkien tunnistamisesta ja välttämisestä.