Multi-License Discount Quote
Pangkalan Data Ancaman Backdoors Pintu Belakang TinyTurla-NG

Pintu Belakang TinyTurla-NG

Menjelang Mezo pada Backdoors, Advanced Persistent Threat (APT), Stealers
Terjemahkan ke
بهاس ملايو

Pelakon ancaman Turla, dipercayai disokong oleh Rusia, telah diperhatikan menggunakan pintu belakang baharu bernama TinyTurla-NG dalam kempen yang berlangsung selama tiga bulan. Operasi serangan secara khusus menyasarkan pertubuhan bukan kerajaan di Poland menjelang akhir tahun 2023. Sama seperti pendahulunya, TinyTurla, TinyTurla-NG berfungsi sebagai pintu belakang 'last resort' yang padat. Ia digunakan secara strategik untuk kekal tidak aktif sehingga semua akses tanpa kebenaran lain atau mekanisme pintu belakang pada sistem yang terjejas sama ada gagal atau ditemui.

Dinamakan kerana persamaannya dengan TinyTurla, TinyTurla-NG ialah satu lagi implan yang digunakan oleh kumpulan musuh dalam pencerobohan yang menyasarkan AS, Jerman dan Afghanistan sejak sekurang-kurangnya 2020. Syarikat keselamatan siber itu pada mulanya mendokumentasikan TinyTurla pada September 2021.

Kumpulan Turla APT Telah Mengkompromi Sasaran Sejajar Dengan Kepentingan Rusia

Aktor ancaman yang dikenali sebagai pakar keselamatan siber menjejaki Turla di bawah pelbagai alias, termasuk Iron Hunter, Pensive Ursa, Secret Blizzard (dahulunya Krypton ), Snake , Uroburos dan Venomous Bear. Kumpulan penggodam ini bergabung dengan negara Rusia dan dikaitkan dengan Perkhidmatan Keselamatan Persekutuan (FSB).

Dalam beberapa bulan kebelakangan ini, Turla telah menyasarkan secara khusus sektor pertahanan di Ukraine dan Eropah Timur, menggunakan pintu belakang berasaskan .NET baharu bernama DeliveryCheck. Pada masa yang sama, pelakon ancaman itu telah menaik taraf implan peringkat kedua yang telah lama wujud, Kazuar , yang telah digunakan sejak sekurang-kurangnya 2017.

Kempen terbaharu yang menampilkan TinyTurla-NG dikesan kembali ke penghujung tahun 2023 dan dilaporkan berterusan sehingga 27 Januari 2024. Walau bagaimanapun, terdapat syak wasangka bahawa aktiviti hasad itu mungkin telah bermula seawal November 2023 berdasarkan tarikh penyusunan perisian hasad yang berkaitan .

TinyTurla-NG Digunakan untuk Penghantaran Perisian Hasad Infostealer

Kaedah pengedaran pintu belakang TinyTurla-NG masih tidak diketahui pada masa ini. Walau bagaimanapun, ia telah diperhatikan menggunakan tapak web berasaskan WordPress yang terjejas sebagai titik akhir Perintah-dan-Kawalan (C2). Laman web ini berfungsi untuk mendapatkan dan melaksanakan arahan, membenarkan TinyTurla-NG melaksanakan arahan melalui PowerShell atau Command Prompt (cmd.exe) dan memudahkan aktiviti muat turun/muat naik fail.

Selain itu, TinyTurla-NG berfungsi sebagai saluran untuk menyampaikan TurlaPower-NG, yang terdiri daripada skrip PowerShell yang direka untuk mengeluarkan maklumat penting yang digunakan untuk mendapatkan pangkalan data kata laluan perisian pengurusan kata laluan yang popular. Data exfiltrated biasanya dibungkus ke dalam arkib ZIP.

Kempen ini mempamerkan tahap penyasaran yang tinggi, memfokuskan pada beberapa organisasi terpilih, dengan pengesahan pada masa ini terhad kepada organisasi yang berpangkalan di Poland. Kempen ini dicirikan oleh pembahagian yang kuat, di mana beberapa tapak web terjejas yang berfungsi sebagai C2 berinteraksi dengan hanya bilangan sampel yang terhad. Struktur ini menjadikannya mencabar untuk berputar daripada satu sampel/C2 kepada yang lain dalam infrastruktur yang sama.

Pintu Belakang Membolehkan Pelakon Ancaman Melakukan Pelbagai Aktiviti Mengancam

Peranti yang dijangkiti ancaman malware pintu belakang menimbulkan bahaya yang ketara, termasuk:

  • Akses Tanpa Kebenaran: Pintu belakang menyediakan pintu masuk senyap untuk penjenayah siber ke dalam peranti. Setelah dijangkiti, penyerang boleh mendapat akses tanpa kebenaran, menjejaskan data sensitif, maklumat peribadi atau harta intelek.
  • Kecurian Data dan Pengintipan: Pintu belakang boleh dieksploitasi untuk mengeluarkan maklumat sulit, seperti rekod kewangan, butiran peribadi atau strategi perniagaan. Data yang dikumpul ini boleh digunakan untuk kecurian identiti, pengintipan korporat atau dijual di Web Gelap.
  • Kawalan Berterusan: Pintu belakang selalunya mendayakan kawalan berterusan ke atas peranti yang terjejas. Penyerang boleh memanipulasi peranti dari jauh, melaksanakan arahan yang tidak selamat dan mengekalkan akses untuk tempoh yang lama tanpa pengetahuan pengguna.
  • Penyebaran dan Pergerakan Lateral: Pintu belakang boleh memudahkan penyebaran perisian hasad dalam rangkaian dengan membenarkan penyerang bergerak secara sisi dari satu peranti ke peranti lain. Ini boleh membawa kepada jangkitan yang meluas, menjadikannya mencabar bagi organisasi untuk membendung dan membasmi ancaman itu.
  • Penerapan Ransomware: Pintu belakang boleh berfungsi sebagai titik masuk untuk menggunakan fail penyulitan perisian tebusan pada peranti atau rangkaian yang dijangkiti. Penjenayah kemudian menuntut wang tebusan untuk kunci penyahsulitan, mengganggu operasi biasa dan menyebabkan kerugian kewangan.
  • Integriti Sistem Terkompromi: Pintu belakang boleh menjejaskan integriti sistem dengan mengubah suai atau melumpuhkan ciri keselamatan. Ini boleh membawa kepada pelbagai isu, termasuk ketidakupayaan untuk mengesan atau mengalih keluar perisian hasad, menyebabkan peranti terdedah kepada eksploitasi selanjutnya.
  • Serangan Rantaian Bekalan: Pintu belakang boleh disuntik ke dalam perisian atau perisian tegar semasa proses rantaian bekalan. Peranti dengan pintu belakang yang diprapasang boleh diedarkan kepada pengguna yang tidak curiga, menimbulkan ancaman besar kepada individu, perniagaan, dan juga infrastruktur kritikal.

Untuk mengurangkan bahaya ini, adalah asas bagi individu dan organisasi untuk menyediakan langkah keselamatan siber yang teguh, termasuk kemas kini perisian tetap, penyelesaian anti-perisian hasad, pemantauan rangkaian dan pendidikan pengguna tentang mengenali dan mengelak potensi ancaman.

 

Trending

Paling banyak dilihat

Memuatkan...