Multi-License Discount Quote
Baza prijetnji Backdoors TinyTurla-NG stražnja vrata

TinyTurla-NG stražnja vrata

Do Mezo. Backdoors, Advanced Persistent Threat (APT), Stealers. godine
Prevedi na:
Hrvatski

Glumac prijetnje Turla, za kojeg se vjeruje da ga podržava Rusija, primijećen je kako koristi novi backdoor pod nazivom TinyTurla-NG u kampanji koja je trajala tri mjeseca. Operacija napada posebno je ciljala nevladine organizacije u Poljskoj krajem 2023. Slično svom prethodniku, TinyTurla, TinyTurla-NG funkcionira kao kompaktna stražnja vrata 'posljednjeg utočišta'. Strateški je postavljen da ostane u stanju mirovanja sve dok svi ostali neovlašteni pristupi ili backdoor mehanizmi na kompromitiranim sustavima ili ne zakažu ili budu otkriveni.

Nazvan po svojoj sličnosti s TinyTurla, TinyTurla-NG je još jedan implantat koji koristi protivnički kolektiv u upadima usmjerenim na SAD, Njemačku i Afganistan od najmanje 2020. Tvrtka za kibernetičku sigurnost prvobitno je dokumentirala TinyTurla u rujnu 2021.

Grupa Turla APT kompromitirala je ciljeve usklađene s ruskim interesima

Akteri prijetnji poznati kao stručnjaci za kibernetičku sigurnost prate Turlu pod različitim aliasima, uključujući Iron Hunter, Pensive Ursa, Secret Blizzard (bivši Krypton ), Snake , Uroburos i Venomous Bear. Ova hakerska skupina povezana je s ruskom državom i povezanom s njezinom Federalnom sigurnosnom službom (FSB).

Posljednjih mjeseci Turla je posebno ciljao na obrambeni sektor u Ukrajini i istočnoj Europi, koristeći novi backdoor temeljen na .NET-u pod nazivom DeliveryCheck. Istovremeno, akter prijetnje je nadogradio svoj dugogodišnji implantat druge faze, Kazuar , koji je u upotrebi od najmanje 2017. godine.

Najnovija kampanja s TinyTurla-NG seže do kraja 2023. i navodno je trajala do 27. siječnja 2024. Međutim, postoje sumnje da je zlonamjerna aktivnost mogla započeti već u studenom 2023. na temelju datuma kompilacije povezanog zlonamjernog softvera .

TinyTurla-NG koristi se za isporuku zlonamjernog softvera Infostealer

Metoda distribucije stražnjih vrata TinyTurla-NG trenutno ostaje nepoznata. Međutim, primijećeno je korištenje kompromitiranih web stranica temeljenih na WordPressu kao krajnjih točaka za naredbu i kontrolu (C2). Ove web stranice služe za dohvaćanje i izvršavanje uputa, omogućujući TinyTurla-NG izvršavanje naredbi putem PowerShell ili Command Prompt (cmd.exe) i olakšavanje aktivnosti preuzimanja/učitavanja datoteka.

Osim toga, TinyTurla-NG služi kao kanal za isporuku TurlaPower-NG, koji se sastoji od PowerShell skripti dizajniranih za ekstrakciju ključnih informacija koje se koriste za osiguranje baza podataka zaporki popularnog softvera za upravljanje zaporkama. Eksfiltrirani podaci obično se pakiraju u ZIP arhivu.

Ova kampanja pokazuje visoku razinu ciljanja, fokusirajući se na odabrani broj organizacija, s potvrdom koja je trenutno ograničena na one sa sjedištem u Poljskoj. Kampanju karakterizira snažna podijeljenost, gdje nekoliko kompromitiranih web stranica koje služe kao C2 komuniciraju s ograničenim brojem uzoraka. Ova struktura čini izazovnim prebacivanje s jednog uzorka/C2 na druge unutar iste infrastrukture.

Stražnja vrata omogućuju akterima prijetnje izvođenje raznih prijetećih aktivnosti

Uređaji zaraženi backdoor malware prijetnjama predstavljaju značajne opasnosti, uključujući:

  • Neovlašteni pristup: stražnja vrata kibernetičkim kriminalcima pružaju tajnu ulaznu točku u uređaj. Nakon što se zaraze, napadači mogu dobiti neovlašteni pristup, ugrožavajući osjetljive podatke, osobne informacije ili intelektualno vlasništvo.
  • Krađa podataka i špijunaža: stražnja vrata se mogu iskoristiti za izvlačenje povjerljivih informacija, kao što su financijski podaci, osobni podaci ili poslovne strategije. Ovi prikupljeni podaci mogu se koristiti za krađu identiteta, korporativnu špijunažu ili prodaju na Dark Webu.
  • Trajna kontrola: stražnja vrata često omogućuju stalnu kontrolu nad ugroženim uređajem. Napadači mogu daljinski manipulirati uređajem, izvršavati nesigurne naredbe i održavati pristup dulje vrijeme bez znanja korisnika.
  • Širenje i bočno kretanje: stražnja vrata mogu olakšati širenje zlonamjernog softvera unutar mreže dopuštajući napadačima bočno premještanje s jednog uređaja na drugi. To može dovesti do raširenih infekcija, što organizacijama predstavlja izazov za obuzdavanje i iskorijenjivanje prijetnje.
  • Uvođenje ransomwarea: Backdoors može poslužiti kao ulazna točka za uvođenje kriptiranih datoteka ransomwarea na zaraženi uređaj ili mrežu. Kriminalci tada traže otkupninu za ključ za dešifriranje, ometajući normalno poslovanje i uzrokujući financijske gubitke.
  • Ugrožen integritet sustava: Backdoori mogu ugroziti integritet sustava modificiranjem ili onemogućavanjem sigurnosnih značajki. To bi moglo dovesti do niza problema, uključujući nemogućnost otkrivanja ili uklanjanja zlonamjernog softvera, ostavljajući uređaj ranjivim na daljnje iskorištavanje.
  • Napadi na lanac opskrbe: Backdoors se mogu ubaciti u softver ili firmware tijekom procesa lanca opskrbe. Uređaji s unaprijed instaliranim stražnjim vratima mogu se distribuirati korisnicima koji ništa ne sumnjaju, što predstavlja značajnu prijetnju pojedincima, tvrtkama, pa čak i kritičnoj infrastrukturi.

Za ublažavanje ovih opasnosti od temeljne je važnosti da pojedinci i organizacije uspostave snažne mjere kibernetičke sigurnosti, uključujući redovita ažuriranja softvera, rješenja protiv zlonamjernog softvera, nadzor mreže i edukaciju korisnika o prepoznavanju i izbjegavanju potencijalnih prijetnji.

 

U trendu

Nagledanije

Učitavam...