TinyTurla-NG बैकडोर

टर्ला थ्रेट एक्टर, जिसे रूस द्वारा समर्थित माना जाता है, को तीन महीने के अभियान में टिनीटरला-एनजी नामक एक नए बैकडोर का उपयोग करते हुए देखा गया है। हमले के ऑपरेशन ने विशेष रूप से 2023 के अंत में पोलैंड में गैर-सरकारी संगठनों को लक्षित किया। अपने पूर्ववर्ती, टिनीटरला के समान, टिनीटरला-एनजी एक कॉम्पैक्ट 'अंतिम उपाय' पिछले दरवाजे के रूप में कार्य करता है। इसे तब तक निष्क्रिय रहने के लिए रणनीतिक रूप से तैनात किया गया है जब तक कि समझौता किए गए सिस्टम पर अन्य सभी अनधिकृत पहुंच या पिछले दरवाजे तंत्र या तो विफल नहीं हो जाते या खोजे नहीं जाते।

TinyTurla से समानता के लिए नामित, TinyTurla-NG कम से कम 2020 से अमेरिका, जर्मनी और अफगानिस्तान को लक्षित घुसपैठ में प्रतिकूल समूह द्वारा उपयोग किया जाने वाला एक और प्रत्यारोपण है। साइबर सुरक्षा कंपनी ने शुरुआत में सितंबर 2021 में TinyTurla का दस्तावेजीकरण किया था।

तुर्ला एपीटी समूह रूस के हितों के अनुरूप लक्ष्यों पर समझौता कर रहा है

साइबर सुरक्षा विशेषज्ञ के रूप में जाने जाने वाले ख़तरनाक कलाकार टरला को विभिन्न उपनामों के तहत ट्रैक करते हैं, जिनमें आयरन हंटर, पेन्सिव उर्सा, सीक्रेट ब्लिज़ार्ड (पूर्व में क्रिप्टन ), स्नेक , यूरोबुरोस और वेनोमस बियर शामिल हैं। यह हैकर समूह रूसी राज्य से संबद्ध है और इसकी संघीय सुरक्षा सेवा (एफएसबी) से जुड़ा हुआ है।

हाल के महीनों में, टरला ने विशेष रूप से यूक्रेन और पूर्वी यूरोप में रक्षा क्षेत्र को लक्षित किया है, जिसमें डिलीवरीचेक नामक एक नया .NET-आधारित बैकडोर नियोजित किया गया है। इसके साथ ही, थ्रेट एक्टर ने अपने लंबे समय से चले आ रहे दूसरे चरण के इम्प्लांट, कज़ुअर को अपग्रेड किया है, जो कम से कम 2017 से उपयोग में है।

TinyTurla-NG का सबसे हालिया अभियान 2023 के अंत तक चला और कथित तौर पर 27 जनवरी, 2024 तक जारी रहा। हालांकि, संदेह है कि संबंधित मैलवेयर की संकलन तिथियों के आधार पर दुर्भावनापूर्ण गतिविधि नवंबर 2023 की शुरुआत में शुरू हो सकती है। .

TinyTurla-NG का उपयोग इन्फोस्टीलर मैलवेयर की डिलीवरी के लिए किया जाता है

TinyTurla-NG पिछले दरवाजे की वितरण पद्धति फिलहाल अज्ञात बनी हुई है। हालाँकि, इसे कमांड-एंड-कंट्रोल (C2) एंडपॉइंट के रूप में समझौता किए गए वर्डप्रेस-आधारित वेबसाइटों का उपयोग करते हुए देखा गया है। ये वेबसाइटें निर्देशों को पुनः प्राप्त करने और निष्पादित करने का काम करती हैं, जिससे TinyTurla-NG को पावरशेल या कमांड प्रॉम्प्ट (cmd.exe) के माध्यम से कमांड निष्पादित करने और फ़ाइल डाउनलोड/अपलोड गतिविधियों की सुविधा मिलती है।

इसके अतिरिक्त, TinyTurla-NG TurlaPower-NG वितरित करने के लिए एक माध्यम के रूप में कार्य करता है, जिसमें लोकप्रिय पासवर्ड प्रबंधन सॉफ़्टवेयर के पासवर्ड डेटाबेस को सुरक्षित करने के लिए उपयोग की जाने वाली महत्वपूर्ण जानकारी को बाहर निकालने के लिए डिज़ाइन की गई PowerShell स्क्रिप्ट शामिल हैं। एक्सफ़िल्ट्रेट किया गया डेटा आम तौर पर एक ज़िप संग्रह में पैक किया जाता है।

यह अभियान उच्च स्तर के लक्ष्यीकरण को प्रदर्शित करता है, जो चुनिंदा संगठनों पर केंद्रित है, इसकी पुष्टि वर्तमान में पोलैंड में स्थित संगठनों तक ही सीमित है। अभियान को मजबूत कंपार्टमेंटलाइज़ेशन की विशेषता है, जहां C2 के रूप में सेवा करने वाली कुछ समझौता वेबसाइटें केवल सीमित संख्या में नमूनों के साथ बातचीत करती हैं। यह संरचना एक ही बुनियादी ढांचे के भीतर एक नमूने/सी2 से दूसरे नमूने की ओर जाना चुनौतीपूर्ण बनाती है।

पिछले दरवाजे ख़तरे पैदा करने वाले अभिनेताओं को विभिन्न ख़तरनाक गतिविधियाँ करने की अनुमति देते हैं

बैकडोर मैलवेयर खतरों से संक्रमित डिवाइस महत्वपूर्ण खतरे पैदा करते हैं, जिनमें शामिल हैं:

• अनधिकृत पहुंच: बैकडोर साइबर अपराधियों के लिए डिवाइस में एक गुप्त प्रवेश बिंदु प्रदान करता है। एक बार संक्रमित होने पर, हमलावर संवेदनशील डेटा, व्यक्तिगत जानकारी या बौद्धिक संपदा से समझौता करके अनधिकृत पहुंच प्राप्त कर सकते हैं।
• डेटा चोरी और जासूसी: वित्तीय रिकॉर्ड, व्यक्तिगत विवरण या व्यावसायिक रणनीतियों जैसी गोपनीय जानकारी को बाहर निकालने के लिए पिछले दरवाजे का फायदा उठाया जा सकता है। इस एकत्रित डेटा का उपयोग पहचान की चोरी, कॉर्पोरेट जासूसी, या डार्क वेब पर बेचा जा सकता है।
• लगातार नियंत्रण: बैकडोर अक्सर किसी समझौता किए गए डिवाइस पर लगातार नियंत्रण सक्षम करते हैं। हमलावर दूर से डिवाइस में हेरफेर कर सकते हैं, असुरक्षित कमांड निष्पादित कर सकते हैं और उपयोगकर्ता की जानकारी के बिना विस्तारित अवधि तक पहुंच बनाए रख सकते हैं।
• प्रसार और पार्श्व आंदोलन: बैकडोर हमलावरों को एक डिवाइस से दूसरे डिवाइस में पार्श्व रूप से स्थानांतरित करने की अनुमति देकर नेटवर्क के भीतर मैलवेयर के प्रसार की सुविधा प्रदान कर सकता है। इससे बड़े पैमाने पर संक्रमण फैल सकता है, जिससे संगठनों के लिए खतरे को रोकना और ख़त्म करना चुनौतीपूर्ण हो जाएगा।
• रैनसमवेयर परिनियोजन: संक्रमित डिवाइस या नेटवर्क पर रैंसमवेयर एन्क्रिप्टिंग फ़ाइलों को तैनात करने के लिए बैकडोर एक प्रवेश बिंदु के रूप में काम कर सकता है। फिर अपराधी डिक्रिप्शन कुंजी के लिए फिरौती की मांग करते हैं, जिससे सामान्य संचालन बाधित होता है और वित्तीय नुकसान होता है।
• सिस्टम की अखंडता से समझौता: बैकडोर सुरक्षा सुविधाओं को संशोधित या अक्षम करके सिस्टम की अखंडता से समझौता कर सकता है। इससे कई प्रकार की समस्याएं हो सकती हैं, जिनमें मैलवेयर का पता लगाने या हटाने में असमर्थता शामिल है, जिससे डिवाइस आगे शोषण के प्रति संवेदनशील हो जाएगा।
• आपूर्ति श्रृंखला हमले: आपूर्ति श्रृंखला प्रक्रिया के दौरान बैकडोर को सॉफ्टवेयर या फ़र्मवेयर में इंजेक्ट किया जा सकता है। पहले से स्थापित बैकडोर वाले उपकरण बिना सोचे-समझे उपयोगकर्ताओं को वितरित किए जा सकते हैं, जो व्यक्तियों, व्यवसायों और यहां तक कि महत्वपूर्ण बुनियादी ढांचे के लिए एक महत्वपूर्ण खतरा पैदा कर सकते हैं।

इन खतरों को कम करने के लिए, व्यक्तियों और संगठनों के लिए मजबूत साइबर सुरक्षा उपाय स्थापित करना मौलिक है, जिसमें नियमित सॉफ़्टवेयर अपडेट, एंटी-मैलवेयर समाधान, नेटवर्क निगरानी और संभावित खतरों को पहचानने और उनसे बचने के लिए उपयोगकर्ता शिक्षा शामिल है।