Multi-License Discount Quote
Draudu datu bāze Backdoors TinyTurla-NG Backdoor

TinyTurla-NG Backdoor

Līdz Mezo. gadam Backdoors, Advanced Persistent Threat (APT), Stealers. gadā
Tulkot uz:
Latviešu

Tika novērots, ka Turlas draudu aktieris, kuru, domājams, atbalsta Krievija, trīs mēnešus ilgā kampaņā izmanto jaunas aizmugures durvis ar nosaukumu TinyTurla-NG. Uzbrukuma operācija bija īpaši vērsta pret nevalstiskajām organizācijām Polijā 2023. gada beigās. Līdzīgi kā tā priekšgājējs TinyTurla, TinyTurla-NG darbojas kā kompakta “pēdējā iespēja”. Tas ir stratēģiski izvietots, lai paliktu neaktīvs, līdz visi citi nesankcionēti piekļuves vai aizmugures mehānismi apdraudētajās sistēmās ir neveiksmīgi vai atklāti.

TinyTurla-NG, kas nosaukts tā līdzības dēļ ar TinyTurla, ir vēl viens implants, ko pretinieku kolektīvs izmanto iebrukumos, kuru mērķis ir ASV, Vācija un Afganistāna vismaz kopš 2020. gada. Kiberdrošības uzņēmums sākotnēji dokumentēja TinyTurla 2021. gada septembrī.

Turla APT grupa ir kompromitējusi mērķus, kas saskaņoti ar Krievijas interesēm

Apdraudējumi, kas pazīstami kā kiberdrošības speciālisti, izseko Turlu ar dažādiem pseidonīmiem, tostarp Iron Hunter, Pensive Ursa, Secret Blizzard (agrāk Krypton ), Snake , Uroburos un Venomous Bear. Šī hakeru grupa ir saistīta ar Krievijas valsti un ir saistīta ar tās Federālo drošības dienestu (FSB).

Pēdējos mēnešos Turla ir īpaši vērsta uz aizsardzības nozari Ukrainā un Austrumeiropā, izmantojot jaunu .NET balstītu backdoor ar nosaukumu DeliveryCheck. Vienlaikus draudu aktieris ir uzlabojis savu ilgstošo otrās pakāpes implantu Kazuar , kas tiek izmantots vismaz kopš 2017. gada.

Pēdējā kampaņa ar TinyTurla-NG aizsākās 2023. gada beigās un, kā ziņots, turpinājās līdz 2024. gada 27. janvārim. Tomēr pastāv aizdomas, ka ļaunprātīga darbība varētu būt sākusies jau 2023. gada novembrī, pamatojoties uz saistītās ļaunprātīgās programmatūras apkopošanas datumiem. .

TinyTurla-NG tiek izmantots Infostealer ļaunprātīgas programmatūras piegādei

TinyTurla-NG aizmugures durvju izplatīšanas metode pašlaik nav zināma. Tomēr ir novērots, ka kā komandu un vadības (C2) galapunkti tiek izmantotas apdraudētas vietnes, kuru pamatā ir WordPress. Šīs vietnes kalpo instrukciju izgūšanai un izpildei, ļaujot TinyTurla-NG izpildīt komandas, izmantojot PowerShell vai Command Prompt (cmd.exe), un atvieglot failu lejupielādes/augšupielādes darbības.

Turklāt TinyTurla-NG kalpo kā kanālu TurlaPower-NG piegādei, kas sastāv no PowerShell skriptiem, kas paredzēti, lai izfiltrētu svarīgu informāciju, ko izmanto, lai aizsargātu populāras paroļu pārvaldības programmatūras paroļu datu bāzes. Izfiltrētie dati parasti tiek iesaiņoti ZIP arhīvā.

Šai kampaņai ir augsts mērķauditorijas atlases līmenis, koncentrējoties uz noteiktu skaitu organizāciju, un pašlaik apstiprinājums attiecas tikai uz tām, kas atrodas Polijā. Kampaņai ir raksturīga spēcīga sadalīšana, kur dažas apdraudētas vietnes, kas darbojas kā C2, mijiedarbojas tikai ar ierobežotu skaitu paraugu. Šī struktūra apgrūtina pagriezienu no viena parauga/C2 uz citiem tajā pašā infrastruktūrā.

Aizmugurējās durvis ļauj draudu aktieriem veikt dažādas apdraudošas darbības

Ierīces, kas inficētas ar aizmugures ļaunprātīgas programmatūras draudiem, rada ievērojamas briesmas, tostarp:

  • Neatļauta piekļuve: Aizmugures durvis nodrošina kibernoziedzniekiem slepenu ieejas punktu ierīcē. Kad uzbrucēji ir inficēti, tie var iegūt nesankcionētu piekļuvi, apdraudot sensitīvus datus, personas informāciju vai intelektuālo īpašumu.
  • Datu zādzība un spiegošana: aizmugures durvis var izmantot, lai izfiltrētu konfidenciālu informāciju, piemēram, finanšu ierakstus, personas datus vai biznesa stratēģijas. Šos savāktos datus var izmantot identitātes zādzībām, korporatīvai spiegošanai vai pārdot Dark Web.
  • Pastāvīga kontrole: aizmugures durvis bieži nodrošina pastāvīgu kontroli pār apdraudētu ierīci. Uzbrucēji var attālināti manipulēt ar ierīci, izpildīt nedrošas komandas un uzturēt piekļuvi ilgu laiku bez lietotāja ziņas.
  • Izplatīšanās un sānu kustība: aizmugures durvis var veicināt ļaunprātīgas programmatūras izplatīšanos tīklā, ļaujot uzbrucējiem pārvietoties no vienas ierīces uz otru. Tas var izraisīt plaši izplatītas infekcijas, padarot organizācijām izaicinājumu apdraudējuma ierobežošanu un izskaušanu.
  • Ransomware izvietošana: Backdoors var kalpot kā ieejas punkts izspiedējvīrusa šifrēšanas failu izvietošanai inficētajā ierīcē vai tīklā. Pēc tam noziedznieki pieprasa izpirkuma maksu par atšifrēšanas atslēgu, izjaucot normālu darbību un radot finansiālus zaudējumus.
  • Kompromitēta sistēmas integritāte: aizmugures durvis var apdraudēt sistēmas integritāti, mainot vai atspējojot drošības līdzekļus. Tas var izraisīt dažādas problēmas, tostarp nespēju atklāt vai noņemt ļaunprātīgu programmatūru, padarot ierīci neaizsargātu pret turpmāku izmantošanu.
  • Piegādes ķēdes uzbrukumi: piegādes ķēdes procesa laikā programmatūrā vai programmaparatūrā var tikt ievadītas aizmugures durvis. Ierīces ar iepriekš instalētām aizmugures durvīm var izplatīt nenojaušajiem lietotājiem, radot ievērojamus draudus privātpersonām, uzņēmumiem un pat kritiskai infrastruktūrai.

Lai mazinātu šos apdraudējumus, privātpersonām un organizācijām ir svarīgi izveidot spēcīgus kiberdrošības pasākumus, tostarp regulārus programmatūras atjauninājumus, pretļaundabīgo programmu risinājumus, tīkla uzraudzību un lietotāju izglītošanu par iespējamo apdraudējumu atpazīšanu un izvairīšanos no tiem.

 

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
36,927
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...