TinyTurla-NG Backdoor

Stebėtas, kad „Turla“ grėsmės veikėjas, kurį, kaip manoma, remia Rusija, per tris mėnesius trukusią kampaniją panaudojo naujas užpakalines duris, pavadintas „TinyTurla-NG“. 2023 m. pabaigoje atakos operacija buvo specialiai skirta nevyriausybinėms organizacijoms Lenkijoje. Panašiai kaip ir jos pirmtakas „TinyTurla“, „TinyTurla-NG“ veikia kaip kompaktiškas „paskutinė išeitis“. Jis yra strategiškai panaudotas, kad liktų neaktyvus, kol visi kiti neteisėtos prieigos arba užpakalinių durų mechanizmai pažeistose sistemose suges arba bus aptikti.

Pavadintas dėl panašumo į TinyTurla, TinyTurla-NG yra dar vienas implantas, kurį priešininkų kolektyvas naudojo įsibrovimams į JAV, Vokietiją ir Afganistaną mažiausiai nuo 2020 m. Kibernetinio saugumo įmonė iš pradžių dokumentavo TinyTurla 2021 m. rugsėjo mėn.

Turla APT grupė kompromitavo tikslus, suderintus su Rusijos interesais

Grėsmių veikėjai, žinomi kaip kibernetinio saugumo specialistai, seka Turlą įvairiais slapyvardžiais, įskaitant Iron Hunter, Pensive Ursa, Secret Blizzard (anksčiau Krypton ), Snake , Uroburos ir Venomous Bear. Ši įsilaužėlių grupė yra susijusi su Rusijos valstybe ir yra susijusi su jos Federaline saugumo tarnyba (FSB).

Pastaraisiais mėnesiais „Turla“ konkrečiai taikėsi į gynybos sektorių Ukrainoje ir Rytų Europoje, naudodama naują „.NET“ pagrindu sukurtą užpakalinę duris, pavadintą DeliveryCheck. Tuo pat metu grėsmių veikėjas atnaujino savo ilgalaikį antrosios pakopos implantą „Kazuar“ , kuris buvo naudojamas mažiausiai nuo 2017 m.

Naujausia kampanija su TinyTurla-NG tęsėsi 2023 m. pabaigoje ir, kaip pranešama, tęsėsi iki 2024 m. sausio 27 d. Tačiau yra įtarimų, kad kenkėjiška veikla galėjo prasidėti jau 2023 m. lapkričio mėn., remiantis susijusios kenkėjiškos programos sudarymo datomis. .

„TinyTurla-NG“ naudojamas „Infostealer“ kenkėjiškų programų pristatymui

TinyTurla-NG užpakalinių durų platinimo metodas šiuo metu lieka nežinomas. Tačiau buvo pastebėta, kad kaip komandų ir valdymo (C2) galutiniai taškai naudojami pažeistos „WordPress“ svetainės. Šios svetainės skirtos nuskaityti ir vykdyti instrukcijas, leidžiančias TinyTurla-NG vykdyti komandas per „PowerShell“ arba komandų eilutę (cmd.exe) ir palengvinti failų atsisiuntimo / įkėlimo veiklą.

Be to, „TinyTurla-NG“ yra kanalas „TurlaPower-NG“, kurį sudaro „PowerShell“ scenarijai, skirti išfiltruoti svarbią informaciją, naudojamą populiarios slaptažodžių valdymo programinės įrangos slaptažodžių duomenų bazėms apsaugoti, pristatymo kanalas. Išfiltruoti duomenys paprastai supakuojami į ZIP archyvą.

Ši kampanija pasižymi aukštu taikymo lygiu, daugiausia dėmesio skiriant tam tikroms organizacijoms, o patvirtinimas šiuo metu apsiriboja tomis, kurios yra įsikūrusios Lenkijoje. Kampanijai būdingas didelis suskirstymas, kai kelios pažeistos svetainės, veikiančios kaip C2, sąveikauja su tik ribotu pavyzdžių skaičiumi. Dėl šios struktūros sunku pereiti nuo vieno pavyzdžio / C2 prie kitų toje pačioje infrastruktūroje.

Užpakalinės durys leidžia grėsmę keliantiems aktoriams atlikti įvairią grėsmingą veiklą

Įrenginiai, užkrėsti užpakalinių durų kenkėjiškų programų grėsmėmis, kelia didelį pavojų, įskaitant:

• Neteisėta prieiga: Užpakalinės durys suteikia kibernetiniams nusikaltėliams slaptą įėjimo į įrenginį tašką. Užsikrėtę užpuolikai gali gauti neteisėtą prieigą, pakenkdami neskelbtiniems duomenims, asmeninei informacijai ar intelektinei nuosavybei.
• Duomenų vagystė ir šnipinėjimas: Užpakalinėmis durimis galima išnaudoti konfidencialią informaciją, pvz., finansinius įrašus, asmeninę informaciją ar verslo strategijas. Šie surinkti duomenys gali būti naudojami tapatybės vagystei, įmonės šnipinėjimui arba parduodami „Dark Web“.
• Nuolatinis valdymas: Užpakalinės durys dažnai leidžia nuolat valdyti pažeistą įrenginį. Užpuolikai gali nuotoliniu būdu valdyti įrenginį, vykdyti nesaugias komandas ir išlaikyti prieigą ilgą laiką be vartotojo žinios.
• Platinimas ir šoninis judėjimas: Užpakalinės durys gali palengvinti kenkėjiškų programų plitimą tinkle, leisdamos užpuolikams pereiti į šonus iš vieno įrenginio į kitą. Tai gali sukelti plačiai paplitusias infekcijas, todėl organizacijoms gali būti sudėtinga suvaldyti ir panaikinti grėsmę.
• Išpirkos reikalaujančių programų diegimas: Backdoors gali būti įėjimo taškas diegiant išpirkos reikalaujančią programinę įrangą šifruojantiems failams užkrėstame įrenginyje ar tinkle. Tada nusikaltėliai reikalauja išpirkos už iššifravimo raktą, sutrikdydami įprastas operacijas ir pridarydami finansinių nuostolių.
• Pažeistas sistemos vientisumas: užpakalinės durys gali pažeisti sistemos vientisumą, pakeisdamos arba išjungdamos saugos funkcijas. Dėl to gali kilti įvairių problemų, įskaitant negalėjimą aptikti ar pašalinti kenkėjiškos programos, todėl įrenginys gali būti pažeidžiamas tolesniam išnaudojimui.
• Tiekimo grandinės atakos: tiekimo grandinės proceso metu į programinę įrangą arba programinę-aparatinę įrangą gali būti įvestos užpakalinės durys. Įrenginiai su iš anksto įdiegtomis užpakalinėmis durimis gali būti platinami nieko neįtariantiems vartotojams, o tai kelia didelę grėsmę asmenims, įmonėms ir net kritinei infrastruktūrai.

Siekiant sumažinti šiuos pavojus, asmenims ir organizacijoms labai svarbu nustatyti patikimas kibernetinio saugumo priemones, įskaitant reguliarius programinės įrangos atnaujinimus, kovos su kenkėjiškomis programomis sprendimus, tinklo stebėjimą ir vartotojų švietimą, kaip atpažinti galimas grėsmes ir jų išvengti.