TinyTurla-NG Backdoor

តួអង្គគំរាមកំហែង Turla ដែលត្រូវបានគេជឿថាគាំទ្រដោយប្រទេសរុស្ស៊ី ត្រូវបានគេសង្កេតឃើញប្រើប្រាស់ backdoor ថ្មីមួយដែលមានឈ្មោះថា TinyTurla-NG នៅក្នុងយុទ្ធនាការមួយដែលមានរយៈពេលបីខែ។ ប្រតិបត្តិការវាយប្រហារជាពិសេសសំដៅទៅលើអង្គការមិនមែនរដ្ឋាភិបាលក្នុងប្រទេសប៉ូឡូញរហូតដល់ចុងឆ្នាំ 2023។ ស្រដៀងទៅនឹងជំនាន់មុនរបស់វាដែរ មុខងារ TinyTurla, TinyTurla-NG ដើរតួជា 'រមណីយដ្ឋានចុងក្រោយ' ខាងក្រោយ។ វាត្រូវបានដាក់ពង្រាយជាយុទ្ធសាស្រ្តដើម្បីរក្សាភាពស្ងៀមស្ងាត់រហូតទាល់តែការចូលប្រើដោយគ្មានការអនុញ្ញាត ឬយន្តការ backdoor ផ្សេងទៀតទាំងអស់នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលបានបរាជ័យ ឬត្រូវបានរកឃើញ។

ត្រូវបានគេដាក់ឈ្មោះឱ្យស្រដៀងទៅនឹង TinyTurla, TinyTurla-NG គឺជាការផ្សាំមួយផ្សេងទៀតដែលប្រើប្រាស់ដោយសមូហភាពសត្រូវក្នុងការឈ្លានពានដែលកំណត់គោលដៅអាមេរិក អាល្លឺម៉ង់ និងអាហ្វហ្គានីស្ថាន ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2020។ ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបានចងក្រងឯកសារដំបូង TinyTurla ក្នុងខែកញ្ញា ឆ្នាំ 2021។

ក្រុមហ៊ុន Turla APT Group បាននិងកំពុងសម្រុះសម្រួលគោលដៅស្របនឹងផលប្រយោជន៍របស់រុស្ស៊ី

តួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជាអ្នកឯកទេសសន្តិសុខតាមអ៊ីនធឺណិតតាមដាន Turla ក្រោមឈ្មោះក្លែងក្លាយផ្សេងៗ រួមមាន Iron Hunter, Pensive Ursa, Secret Blizzard (អតីត Krypton ), Snake , Uroburos និង Venomous Bear ។ ក្រុម Hacker នេះមានទំនាក់ទំនងជាមួយរដ្ឋរុស្ស៊ី ហើយភ្ជាប់ទៅសេវាសន្តិសុខសហព័ន្ធ (FSB) របស់ខ្លួន។

ក្នុងរយៈពេលប៉ុន្មានខែថ្មីៗនេះ Turla បានកំណត់គោលដៅជាពិសេសទៅលើវិស័យការពារជាតិនៅអ៊ុយក្រែន និងអឺរ៉ុបខាងកើត ដោយប្រើប្រាស់ Backdoor ថ្មីដែលមានមូលដ្ឋានលើ .NET ដែលមានឈ្មោះថា DeliveryCheck ។ ក្នុងពេលដំណាលគ្នានោះ តួអង្គគំរាមកំហែងបានធ្វើឱ្យប្រសើរឡើងនូវឧបករណ៍ផ្សាំដំណាក់កាលទី 2 ដ៏យូរអង្វែងរបស់ខ្លួន ឈ្មោះ Kazuar ដែលបានប្រើប្រាស់តាំងពីឆ្នាំ 2017 មកម្ល៉េះ។

យុទ្ធនាការថ្មីៗបំផុតដែលបង្ហាញពីដាន TinyTurla-NG ត្រឡប់ទៅចុងឆ្នាំ 2023 ហើយត្រូវបានគេរាយការណ៍ថាបានបន្តរហូតដល់ថ្ងៃទី 27 ខែមករា ឆ្នាំ 2024។ ទោះបីជាយ៉ាងណាក៏ដោយ មានការសង្ស័យថាសកម្មភាពព្យាបាទអាចចាប់ផ្តើមនៅដើមខែវិច្ឆិកា ឆ្នាំ 2023 ដោយផ្អែកលើកាលបរិច្ឆេទចងក្រងនៃមេរោគដែលពាក់ព័ន្ធ។ .

TinyTurla-NG ត្រូវបានប្រើសម្រាប់ការចែកចាយមេរោគ Infostealer

វិធីសាស្រ្តចែកចាយរបស់ TinyTurla-NG backdoor នៅតែមិនស្គាល់នាពេលបច្ចុប្បន្ននេះ។ ទោះជាយ៉ាងណាក៏ដោយ វាត្រូវបានគេសង្កេតឃើញប្រើប្រាស់គេហទំព័រដែលមានមូលដ្ឋានលើ WordPress ដែលត្រូវបានសម្របសម្រួលជា Command-and-Control (C2) endpoints ។ គេហទំព័រទាំងនេះបម្រើដើម្បីទាញយក និងប្រតិបត្តិសេចក្តីណែនាំ ដែលអនុញ្ញាតឱ្យ TinyTurla-NG ប្រតិបត្តិពាក្យបញ្ជាតាមរយៈ PowerShell ឬ Command Prompt (cmd.exe) និងសម្របសម្រួលសកម្មភាពទាញយក/ផ្ទុកឯកសារ។

លើសពីនេះ TinyTurla-NG ដើរតួនាទីជាបំពង់សម្រាប់ចែកចាយ TurlaPower-NG ដែលមានស្គ្រីប PowerShell រចនាឡើងដើម្បីដកយកព័ត៌មានសំខាន់ៗដែលប្រើដើម្បីការពារមូលដ្ឋានទិន្នន័យពាក្យសម្ងាត់នៃកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ពេញនិយម។ ទិន្នន័យដែលបានច្រានចេញជាធម្មតាត្រូវបានខ្ចប់ទៅក្នុងប័ណ្ណសារហ្ស៊ីប។

យុទ្ធនាការនេះបង្ហាញពីកម្រិតខ្ពស់នៃការកំណត់គោលដៅ ដោយផ្តោតលើចំនួនអង្គការមួយចំនួន ជាមួយនឹងការបញ្ជាក់បច្ចុប្បន្នត្រូវបានកំណត់ចំពោះអង្គការដែលមានមូលដ្ឋាននៅប្រទេសប៉ូឡូញ។ យុទ្ធនាការនេះត្រូវបានកំណត់លក្ខណៈដោយការបែងចែកយ៉ាងរឹងមាំ ដែលគេហទំព័រដែលសម្របសម្រួលមួយចំនួនដែលបម្រើជា C2s ធ្វើអន្តរកម្មជាមួយគំរូមួយចំនួនដែលមានកំណត់។ រចនាសម្ព័ននេះធ្វើឱ្យវាមានការលំបាកក្នុងការបង្វែរពីគំរូមួយ/C2 ទៅកាន់អ្នកផ្សេងទៀតនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធដូចគ្នា។

Backdoors អនុញ្ញាតឱ្យតួអង្គគំរាមកំហែង ធ្វើសកម្មភាពគំរាមកំហែងផ្សេងៗ

ឧបករណ៍ដែលឆ្លងមេរោគ backdoor malware គំរាមកំហែងបង្កគ្រោះថ្នាក់យ៉ាងសំខាន់ រួមទាំង៖

• ការចូលប្រើដោយគ្មានការអនុញ្ញាត៖ Backdoors ផ្តល់នូវចំណុចចូលសម្ងាត់សម្រាប់ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទៅក្នុងឧបករណ៍។ នៅពេលដែលឆ្លងមេរោគ អ្នកវាយប្រហារអាចទទួលបានសិទ្ធិចូលប្រើដោយគ្មានការអនុញ្ញាត បំផ្លាញទិន្នន័យរសើប ព័ត៌មានផ្ទាល់ខ្លួន ឬកម្មសិទ្ធិបញ្ញា។
• ការលួចទិន្នន័យ និងចារកម្ម៖ Backdoors អាចត្រូវបានកេងប្រវ័ញ្ច ដើម្បីទាញយកព័ត៌មានសម្ងាត់ ដូចជាកំណត់ត្រាហិរញ្ញវត្ថុ ព័ត៌មានលម្អិតផ្ទាល់ខ្លួន ឬយុទ្ធសាស្ត្រអាជីវកម្ម។ ទិន្នន័យដែលប្រមូលបាននេះអាចត្រូវបានប្រើប្រាស់សម្រាប់ការលួចអត្តសញ្ញាណ ចារកម្មសាជីវកម្ម ឬលក់នៅលើ Dark Web ។
• ការគ្រប់គ្រងជាប់លាប់៖ Backdoors តែងតែបើកការគ្រប់គ្រងជាប់លាប់លើឧបករណ៍ដែលរងការសម្របសម្រួល។ អ្នកវាយប្រហារអាចគ្រប់គ្រងឧបករណ៍ពីចម្ងាយ ប្រតិបត្តិពាក្យបញ្ជាដែលមិនមានសុវត្ថិភាព និងរក្សាការចូលប្រើប្រាស់សម្រាប់រយៈពេលបន្តដោយមិនចាំបាច់មានចំណេះដឹងរបស់អ្នកប្រើប្រាស់។
• ការផ្សព្វផ្សាយ និងចលនានៅពេលក្រោយ៖ Backdoors អាចជួយសម្រួលដល់ការរីករាលដាលនៃមេរោគនៅក្នុងបណ្តាញ ដោយអនុញ្ញាតឱ្យអ្នកវាយប្រហារផ្លាស់ទីនៅពេលក្រោយពីឧបករណ៍មួយទៅឧបករណ៍មួយទៀត។ នេះអាចនាំឱ្យមានការឆ្លងរីករាលដាល ដែលធ្វើឱ្យវាពិបាកសម្រាប់អង្គការនានាក្នុងការទប់ស្កាត់ និងលុបបំបាត់ការគំរាមកំហែង។
• ការដាក់ពង្រាយ Ransomware៖ Backdoors អាចបម្រើជាចំណុចចូលសម្រាប់ដាក់ពង្រាយ ransomware អ៊ិនគ្រីបឯកសារនៅលើឧបករណ៍ ឬបណ្តាញដែលមានមេរោគ។ ឧក្រិដ្ឋជន​បន្ទាប់​មក​ទាមទារ​ប្រាក់​លោះ​សម្រាប់​សោ​ឌិគ្រីប ដែល​រំខាន​ដល់​ប្រតិបត្តិការ​ធម្មតា និង​បង្ក​ការ​ខាតបង់​ហិរញ្ញវត្ថុ។
• បូរណភាពប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល៖ Backdoors អាចនឹងធ្វើឱ្យខូចដល់ភាពសុចរិតនៃប្រព័ន្ធដោយការកែប្រែ ឬបិទមុខងារសុវត្ថិភាព។ នេះអាចនាំឱ្យមានបញ្ហាជាច្រើន រួមទាំងអសមត្ថភាពក្នុងការរកឃើញ ឬលុបមេរោគ ដែលទុកឱ្យឧបករណ៍ងាយរងការកេងប្រវ័ញ្ចបន្ថែមទៀត។
• ការវាយប្រហារតាមខ្សែសង្វាក់ផ្គត់ផ្គង់៖ Backdoors អាចត្រូវបានចាក់ចូលទៅក្នុងកម្មវិធី ឬកម្មវិធីបង្កប់ក្នុងអំឡុងពេលដំណើរការសង្វាក់ផ្គត់ផ្គង់។ ឧបករណ៍ដែលមានផ្នែកខាងក្រោយដែលបានដំឡើងជាមុនអាចត្រូវបានចែកចាយទៅកាន់អ្នកប្រើប្រាស់ដែលមិនមានការសង្ស័យ ដែលបង្កការគំរាមកំហែងយ៉ាងសំខាន់ដល់បុគ្គល អាជីវកម្ម និងសូម្បីតែហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ។

ដើម្បីកាត់បន្ថយគ្រោះថ្នាក់ទាំងនេះ វាជាមូលដ្ឋានគ្រឹះសម្រាប់បុគ្គល និងអង្គការនានាក្នុងការរៀបចំវិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏រឹងមាំ រួមទាំងការធ្វើបច្ចុប្បន្នភាពកម្មវិធីជាប្រចាំ ដំណោះស្រាយប្រឆាំងនឹងមេរោគ ការត្រួតពិនិត្យបណ្តាញ និងការអប់រំអ្នកប្រើប្រាស់អំពីការទទួលស្គាល់ និងជៀសវាងការគំរាមកំហែងដែលអាចកើតមាន។