TinyTurla-NG דלת אחורית

שחקן האיום של טורלה, שלדעתו נתמך על ידי רוסיה, נצפה משתמש בדלת אחורית חדשה בשם TinyTurla-NG בקמפיין שנמשך שלושה חודשים. מבצע התקיפה כוון במיוחד לארגונים לא-ממשלתיים בפולין לקראת סוף 2023. בדומה לקודמתה, TinyTurla, TinyTurla-NG מתפקדת כדלת אחורית קומפקטית 'המוצא האחרון'. הוא נפרס באופן אסטרטגי כדי להישאר רדום עד שכל שאר מנגנוני הגישה הבלתי מורשית או הדלת האחורית במערכות שנפרצו נכשלו או יתגלו.

TinyTurla-NG, שנקרא על שם הדמיון שלו ל-TinyTurla, הוא שתל נוסף המשמש את הקולקטיב היריב בפריצות לכיוון ארה"ב, גרמניה ואפגניסטן מאז לפחות 2020. חברת אבטחת הסייבר תיעדה בתחילה את TinyTurla בספטמבר 2021.

קבוצת Turla APT סיימה יעדים התואמים את האינטרסים של רוסיה

שחקני האיומים הידועים כמומחי אבטחת סייבר עוקבים אחר טורלה תחת כינויים שונים, כולל צייד הברזל, אורסה מהורהר, סופת שלגים סודית (לשעבר קריפטון ), נחש , אורובורוס ודוב ארסי. קבוצת האקרים זו מזוהה עם המדינה הרוסית ומקושרת לשירות הביטחון הפדרלי שלה (FSB).

בחודשים האחרונים, Turla פנתה במיוחד למגזר הביטחוני באוקראינה ובמזרח אירופה, תוך שימוש בדלת אחורית חדשה מבוססת NET בשם DeliveryCheck. במקביל, שחקן האיום שדרג את שתל השלב השני הוותיק שלו, Kazuar , שנמצא בשימוש לפחות מ-2017.

מסע הפרסום האחרון הכולל את TinyTurla-NG מגיע לסוף 2023 ונמשך לפי הדיווחים עד 27 בינואר 2024. עם זאת, ישנם חשדות כי ייתכן שהפעילות הזדונית החלה כבר בנובמבר 2023 בהתבסס על תאריכי ההידור של התוכנה הזדונית הקשורה .

TinyTurla-NG משמש לאספקת תוכנות זדוניות של Infostealer

שיטת ההפצה של הדלת האחורית TinyTurla-NG עדיין לא ידועה. עם זאת, נצפתה שימוש באתרים מבוססי וורדפרס שנפגעו כנקודות קצה של Command-and-Control (C2). אתרים אלה משמשים לאחזור וביצוע הוראות, ומאפשרים ל-TinyTurla-NG לבצע פקודות באמצעות PowerShell או שורת הפקודה (cmd.exe) ולהקל על פעילויות הורדת/העלאת קבצים.

בנוסף, TinyTurla-NG משמשת כצינור לאספקת TurlaPower-NG, המורכב מסקריפטים של PowerShell שנועדו לחלץ מידע חיוני המשמש לאבטחת מסדי נתונים של סיסמאות של תוכנות פופולריות לניהול סיסמאות. הנתונים המוחלפים נארזים בדרך כלל בארכיון ZIP.

מסע פרסום זה מפגין רמה גבוהה של מיקוד, המתמקד במספר נבחר של ארגונים, כאשר האישור מוגבל כרגע לאלו שבסיסם בפולין. הקמפיין מאופיין במידור חזק, שבו כמה אתרים שנפגעו המשמשים כ-C2 מקיימים אינטראקציה עם מספר מוגבל של דוגמאות בלבד. מבנה זה מאתגר לעבור מדגימה אחת/C2 לאחרות בתוך אותה תשתית.

דלתות אחוריות מאפשרות לשחקני איום לבצע פעילויות מאיימות שונות

מכשירים נגועים באיומי תוכנות זדוניות מהדלת האחורית מהווים סכנות משמעותיות, כולל:

• גישה לא מורשית: דלתות אחוריות מספקות נקודת כניסה חמקנית עבור פושעי סייבר למכשיר. לאחר הדבקה, התוקפים יכולים לקבל גישה בלתי מורשית, לסכן נתונים רגישים, מידע אישי או קניין רוחני.
• גניבת נתונים וריגול: ניתן לנצל דלתות אחוריות כדי לחשוף מידע סודי, כגון רישומים פיננסיים, פרטים אישיים או אסטרטגיות עסקיות. הנתונים שנאספו עשויים לשמש לגניבת זהות, ריגול תאגידי או למכור ברשת האפלה.
• שליטה מתמשכת: דלתות אחוריות מאפשרות לעתים קרובות שליטה מתמשכת על מכשיר שנפגע. תוקפים יכולים לתפעל מרחוק את המכשיר, לבצע פקודות לא בטוחות ולשמור על גישה לתקופות ממושכות ללא ידיעת המשתמש.
• התפשטות ותנועה לרוחב: דלתות אחוריות עשויות להקל על התפשטות תוכנות זדוניות בתוך רשת על ידי מתן אפשרות לתוקפים לעבור לרוחב ממכשיר אחד לאחר. זה יכול להוביל לזיהומים נרחבים, מה שמקשה על ארגונים להכיל ולמגר את האיום.
• פריסת תוכנות כופר: דלתות אחוריות יכולות לשמש כנקודת כניסה לפריסת קבצי הצפנת תוכנות כופר במכשיר או ברשת הנגועים. לאחר מכן, הפושעים דורשים כופר עבור מפתח הפענוח, משבשים את הפעילות הרגילה וגורמים להפסדים כספיים.
• שלמות מערכת בסיכון: דלתות אחוריות עלולות לפגוע בשלמותה של מערכת על ידי שינוי או השבתה של תכונות אבטחה. זה עלול להוביל למגוון של בעיות, כולל חוסר היכולת לזהות או להסיר את התוכנה הזדונית, ולהשאיר את המכשיר חשוף לניצול נוסף.
• התקפות שרשרת אספקה: ניתן להחדיר דלתות אחוריות לתוכנה או קושחה במהלך תהליך שרשרת האספקה. מכשירים עם דלתות אחוריות מותקנות מראש יכולים להיות מופצים למשתמשים תמימים, מהווים איום משמעותי על אנשים פרטיים, עסקים ואפילו תשתית קריטית.

כדי להפחית את הסכנות הללו, חיוני ליחידים ולארגונים להגדיר אמצעי אבטחת סייבר חזקים, לרבות עדכוני תוכנה שוטפים, פתרונות נגד תוכנות זדוניות, ניטור רשתות וחינוך משתמשים בנושא זיהוי והימנעות של איומים פוטנציאליים.