TinyTurla-NG 백도어

러시아의 지원을 받는 것으로 추정되는 Turla 위협 행위자는 3개월에 걸친 캠페인에서 TinyTurla-NG라는 새로운 백도어를 사용하는 것이 관찰되었습니다. 공격 작전은 특히 2023년 말 폴란드의 비정부 조직을 표적으로 삼았습니다. 이전 버전인 TinyTurla와 유사하게 TinyTurla-NG는 소형 '최후의 수단' 백도어 역할을 합니다. 손상된 시스템의 다른 모든 무단 액세스 또는 백도어 메커니즘이 실패하거나 발견될 때까지 휴면 상태를 유지하도록 전략적으로 배포됩니다.

TinyTurla와 유사하다고 명명된 TinyTurla-NG는 적어도 2020년부터 미국, 독일, 아프가니스탄을 표적으로 하는 침입에서 적 집단이 사용한 또 다른 임플란트입니다. 사이버 보안 회사는 2021년 9월에 TinyTurla를 처음 문서화했습니다.

Turla APT 그룹은 러시아의 이익에 부합하는 목표를 타협해 왔습니다.

사이버 보안 전문가로 알려진 위협 행위자는 Iron Hunter, Pensive Ursa, Secret Blizzard(이전 Krypton ), Snake , Uroburos 및 Venomous Bear를 포함한 다양한 별칭으로 Turla를 추적합니다. 이 해커 그룹은 러시아 정부와 연계되어 있으며 FSB(연방 보안국)와 연결되어 있습니다.

최근 몇 달 동안 Turla는 DeliveryCheck라는 새로운 .NET 기반 백도어를 사용하여 우크라이나와 동유럽의 국방 부문을 특별히 표적으로 삼았습니다. 동시에, 위협 행위자는 적어도 2017년부터 사용되어 온 오래된 2단계 임플란트인 Kazuar 를 업그레이드했습니다.

TinyTurla-NG를 특징으로 하는 가장 최근 캠페인은 2023년 말로 거슬러 올라가며 2024년 1월 27일까지 계속된 것으로 알려졌습니다. 그러나 관련 악성 코드의 편집 날짜를 기준으로 볼 때 악성 활동은 빠르면 2023년 11월에 시작되었을 수도 있다는 의혹이 있습니다. .

TinyTurla-NG는 Infostealer 악성 코드 전달에 사용됩니다.

TinyTurla-NG 백도어의 배포 방법은 현재 알려지지 않았습니다. 그러나 손상된 WordPress 기반 웹사이트를 명령 및 제어(C2) 엔드포인트로 활용하는 것이 관찰되었습니다. 이러한 웹 사이트는 명령을 검색하고 실행하는 역할을 하여 TinyTurla-NG가 PowerShell 또는 명령 프롬프트(cmd.exe)를 통해 명령을 실행하고 파일 다운로드/업로드 활동을 용이하게 할 수 있도록 합니다.

또한 TinyTurla-NG는 널리 사용되는 비밀번호 관리 소프트웨어의 비밀번호 데이터베이스를 보호하는 데 사용되는 중요한 정보를 추출하도록 설계된 PowerShell 스크립트로 구성된 TurlaPower-NG를 제공하기 위한 통로 역할을 합니다. 유출된 데이터는 일반적으로 ZIP 아카이브로 패키지됩니다.

이 캠페인은 선택된 수의 조직에 초점을 맞춘 높은 수준의 타겟팅을 보여 주며 현재 확인은 폴란드에 기반을 둔 조직으로 제한되어 있습니다. 이 캠페인은 C2 역할을 하는 일부 손상된 웹사이트가 제한된 수의 샘플과만 상호 작용하는 강력한 구획화가 특징입니다. 이러한 구조는 동일한 인프라 내에서 하나의 샘플/C2에서 다른 샘플/C2로 전환하는 것을 어렵게 만듭니다.

백도어를 통해 위협 행위자는 다양한 위협 활동을 수행할 수 있습니다.

백도어 악성 코드 위협에 감염된 장치는 다음과 같은 심각한 위험을 초래합니다.

• 무단 액세스: 백도어는 사이버 범죄자가 장치에 은밀하게 진입할 수 있는 진입점을 제공합니다. 일단 감염되면 공격자는 무단 액세스 권한을 얻어 민감한 데이터, 개인 정보 또는 지적 재산을 손상시킬 수 있습니다.
• 데이터 도난 및 스파이 활동: 백도어는 재무 기록, 개인 정보 또는 비즈니스 전략과 같은 기밀 정보를 유출하는 데 악용될 수 있습니다. 이렇게 수집된 데이터는 신원 도용, 기업 스파이 활동에 사용되거나 다크 웹에서 판매될 수 있습니다.
• 지속적인 제어: 백도어는 손상된 장치에 대한 지속적인 제어를 가능하게 하는 경우가 많습니다. 공격자는 사용자가 모르는 사이에 장치를 원격으로 조작하고, 안전하지 않은 명령을 실행하고, 장기간 액세스를 유지할 수 있습니다.
• 전파 및 측면 이동: 백도어는 공격자가 한 장치에서 다른 장치로 측면 이동할 수 있도록 허용하여 네트워크 내에서 맬웨어의 확산을 촉진할 수 있습니다. 이로 인해 광범위한 감염이 발생할 수 있으며, 이로 인해 조직이 위협을 억제하고 근절하는 것이 어려워집니다.
• 랜섬웨어 배포: 백도어는 감염된 장치나 네트워크에 랜섬웨어 암호화 파일을 배포하기 위한 진입점 역할을 할 수 있습니다. 그런 다음 범죄자는 암호 해독 키에 대한 몸값을 요구하여 정상적인 운영을 방해하고 재정적 손실을 초래합니다.
• 손상된 시스템 무결성: 백도어는 보안 기능을 수정하거나 비활성화하여 시스템의 무결성을 손상시킬 수 있습니다. 이로 인해 맬웨어를 감지하거나 제거할 수 없어 장치가 추가 악용에 취약해지는 등 다양한 문제가 발생할 수 있습니다.
• 공급망 공격: 백도어는 공급망 프로세스 중에 소프트웨어나 펌웨어에 주입될 수 있습니다. 백도어가 사전 설치된 장치는 의심하지 않는 사용자에게 배포되어 개인, 기업, 심지어 중요한 인프라에 심각한 위협을 가할 수 있습니다.

이러한 위험을 완화하려면 개인과 조직이 정기적인 소프트웨어 업데이트, 맬웨어 방지 솔루션, 네트워크 모니터링, 잠재적 위협 인식 및 방지에 대한 사용자 교육을 포함하여 강력한 사이버 보안 조치를 설정하는 것이 필수적입니다.