TinyTurla-NG Backdoor

A turlai fenyegetettség szereplőjét, akit Oroszország támogat, megfigyelték, hogy egy új, TinyTurla-NG nevű hátsó ajtót alkalmaz egy három hónapig tartó kampányban. A támadási művelet kifejezetten a lengyelországi nem kormányzati szervezeteket célozta 2023 vége felé. Elődjéhez, a TinyTurlához hasonlóan a TinyTurla-NG is kompakt „utolsó mentsvár” háttérajtóként működik. Stratégiailag úgy van telepítve, hogy alvó állapotban maradjon mindaddig, amíg az összes többi jogosulatlan hozzáférési vagy hátsó ajtó mechanizmus meghibásodik vagy fel nem fedezik a feltört rendszereken.

A TinyTurla-val való hasonlóságáról kapta a nevét, a TinyTurla-NG egy másik implantátum, amelyet az ellenfél csapata legalább 2020 óta használt az Egyesült Államokat, Németországot és Afganisztánt célzó behatolásoknál. A kiberbiztonsági vállalat eredetileg 2021 szeptemberében dokumentálta a TinyTurlát.

A Turla APT Csoport Oroszország érdekeivel összhangban álló célokat kompromittál

A kiberbiztonsági szakértőként ismert fenyegetés szereplői Turlát különféle álnevekkel követik, köztük az Iron Hunter, a Pensive Ursa, a Secret Blizzard (korábbi nevén Krypton ), a Snake , az Uroburos és a Venomous Bear. Ez a hackercsoport kapcsolatban áll az orosz állammal, és kapcsolatban áll annak Szövetségi Biztonsági Szolgálatával (FSB).

Az elmúlt hónapokban a Turla kifejezetten az ukrajnai és kelet-európai védelmi szektort célozta meg, és egy új, DeliveryCheck névre keresztelt .NET-alapú hátsó ajtót alkalmaz. Ezzel egyidejűleg a fenyegetettség szereplője továbbfejlesztette régóta fennálló második fokozatú implantátumát, a Kazuart , amelyet legalább 2017 óta használnak.

A legutóbbi, TinyTurla-NG-t tartalmazó kampány 2023 végére nyúlik vissza, és állítólag 2024. január 27-ig tartott. Azonban felmerül a gyanú, hogy a rosszindulatú tevékenység már 2023 novemberében elkezdődhetett a kapcsolódó kártevő összeállítási dátumai alapján. .

A TinyTurla-NG-t Infostealer rosszindulatú programok szállítására használják

A TinyTurla-NG backdoor terjesztési módja egyelőre ismeretlen. Megfigyelték azonban, hogy WordPress-alapú webhelyeket használ Command-and-Control (C2) végpontként. Ezek a webhelyek utasítások lekérésére és végrehajtására szolgálnak, lehetővé téve a TinyTurla-NG számára, hogy parancsokat hajtson végre a PowerShell vagy a Command Prompt (cmd.exe) segítségével, és megkönnyítse a fájlletöltési/feltöltési tevékenységeket.

Ezenkívül a TinyTurla-NG csatornaként szolgál a TurlaPower-NG szállításához, amely PowerShell-szkriptekből áll, amelyek célja a népszerű jelszókezelő szoftverek jelszóadatbázisainak biztonságossá tételéhez használt kulcsfontosságú információk kiszűrése. A kiszűrt adatokat általában egy ZIP-archívumba csomagolják.

Ez a kampány magas szintű célzást mutat, bizonyos számú szervezetre összpontosítva, és a megerősítés jelenleg a lengyelországi székhelyű szervezetekre korlátozódik. A kampányt erős felosztás jellemzi, ahol néhány feltört, C2-ként szolgáló webhely csak korlátozott számú mintával működik együtt. Ez a struktúra megnehezíti az egyik mintáról/C2-ről a többire való elfordulást ugyanazon az infrastruktúrán belül.

A hátsó ajtók lehetővé teszik a fenyegető szereplők számára, hogy különféle fenyegető tevékenységeket hajtsanak végre

A backdoor rosszindulatú programokkal fertőzött eszközök jelentős veszélyeket jelentenek, többek között:

• Jogosulatlan hozzáférés: A hátsó ajtók rejtett belépési pontot biztosítanak a kiberbűnözőknek az eszközhöz. A megfertőződést követően a támadók jogosulatlan hozzáférést kaphatnak, ami érzékeny adatokat, személyes adatokat vagy szellemi tulajdont veszélyeztet.
• Adatlopás és kémkedés: A hátsó ajtók kihasználhatók bizalmas információk, például pénzügyi nyilvántartások, személyes adatok vagy üzleti stratégiák kiszivárogtatására. Ezek az összegyűjtött adatok felhasználhatók személyazonosság-lopásra, vállalati kémkedésre, vagy értékesíthetők a Sötét Weben.
• Állandó vezérlés: A hátsó ajtók gyakran lehetővé teszik a feltört eszköz folyamatos vezérlését. A támadók távolról manipulálhatják az eszközt, nem biztonságos parancsokat hajthatnak végre, és hosszabb ideig fenntarthatják a hozzáférést a felhasználó tudta nélkül.
• Terjedés és oldalirányú mozgás: A hátsó ajtók elősegíthetik a rosszindulatú programok terjedését a hálózaton belül azáltal, hogy lehetővé teszik a támadók számára, hogy oldalirányban mozogjanak egyik eszközről a másikra. Ez széles körben elterjedt fertőzésekhez vezethet, és kihívást jelent a szervezetek számára a fenyegetés megfékezése és felszámolása.
• Ransomware-telepítés: A Backdoors belépési pontként szolgálhat a ransomware-titkosító fájlok telepítéséhez a fertőzött eszközön vagy hálózaton. A bűnözők ezután váltságdíjat követelnek a visszafejtő kulcsért, megzavarva a normál működést és anyagi veszteségeket okozva.
• Kompromittált rendszerintegritás: A hátsó ajtók veszélyeztethetik a rendszer integritását a biztonsági funkciók módosításával vagy letiltásával. Ez számos problémához vezethet, beleértve a rosszindulatú program észlelésének vagy eltávolításának képtelenségét, így az eszköz sebezhetővé válik a további kizsákmányolásokkal szemben.
• Supply Chain Attacks: A hátsó ajtókat be lehet fecskendezni a szoftverbe vagy a firmware-be az ellátási lánc folyamata során. Az előre telepített hátsó ajtókkal rendelkező eszközök a gyanútlan felhasználókhoz is eljuttathatók, jelentős veszélyt jelentve az egyénekre, a vállalkozásokra, sőt a kritikus infrastruktúrákra is.

E veszélyek mérséklése érdekében alapvető fontosságú, hogy az egyének és a szervezetek szilárd kiberbiztonsági intézkedéseket hozzanak, beleértve a rendszeres szoftverfrissítéseket, a rosszindulatú programok elleni megoldásokat, a hálózatfigyelést és a felhasználói oktatást a potenciális fenyegetések felismerésével és elkerülésével kapcsolatban.