Multi-License Discount Quote
Trusseldatabase Backdoors TinyTurla-NG bakdør

TinyTurla-NG bakdør

Med Mezo i Backdoors, Advanced Persistent Threat (APT), Stealers
Oversett til:
Norsk

Turla-trusselsaktøren, som antas å være støttet av Russland, har blitt observert bruke en ny bakdør kalt TinyTurla-NG i en kampanje som strekker seg over tre måneder. Angrepsoperasjonen var spesifikt rettet mot ikke-statlige organisasjoner i Polen mot slutten av 2023. I likhet med forgjengeren TinyTurla, fungerer TinyTurla-NG som en kompakt "siste utvei" bakdør. Den er strategisk distribuert for å forbli i dvale til all annen uautorisert tilgang eller bakdørsmekanismer på de kompromitterte systemene enten har sviktet eller blitt oppdaget.

TinyTurla-NG er oppkalt etter sin likhet med TinyTurla, og er et annet implantat brukt av motstandskollektivet i inntrengninger rettet mot USA, Tyskland og Afghanistan siden minst 2020. Nettsikkerhetsselskapet dokumenterte opprinnelig TinyTurla i september 2021.

Turla APT-gruppen har forenet mål i samsvar med Russlands interesser

Trusselaktørene kjent som cybersikkerhetsspesialister sporer Turla under forskjellige aliaser, inkludert Iron Hunter, Pensive Ursa, Secret Blizzard (tidligere Krypton ), Snake , Uroburos og Venomous Bear. Denne hackergruppen er tilknyttet den russiske staten og knyttet til dens føderale sikkerhetstjeneste (FSB).

De siste månedene har Turla spesifikt rettet seg mot forsvarssektoren i Ukraina og Øst-Europa, ved å bruke en ny .NET-basert bakdør kalt DeliveryCheck. Samtidig har trusselaktøren oppgradert sitt mangeårige implantat i andre trinn, Kazuar , som har vært i bruk siden minst 2017.

Den siste kampanjen med TinyTurla-NG går tilbake til slutten av 2023 og skal ha fortsatt til 27. januar 2024. Det er imidlertid mistanker om at den ondsinnede aktiviteten kan ha startet så tidlig som i november 2023 basert på kompileringsdatoene for den tilknyttede skadelige programvaren .

TinyTurla-NG brukes til levering av Infostealer-malware

Distribusjonsmetoden til TinyTurla-NG-bakdøren er foreløpig ukjent. Imidlertid har det blitt observert å bruke kompromitterte WordPress-baserte nettsteder som Command-and-Control (C2) endepunkter. Disse nettstedene tjener til å hente og utføre instruksjoner, slik at TinyTurla-NG kan utføre kommandoer gjennom PowerShell eller kommandoprompt (cmd.exe) og forenkle nedlasting/opplasting av filer.

I tillegg fungerer TinyTurla-NG som en kanal for levering av TurlaPower-NG, som består av PowerShell-skript designet for å eksfiltrere viktig informasjon som brukes til å sikre passorddatabaser med populær programvare for passordadministrasjon. De eksfiltrerte dataene pakkes vanligvis inn i et ZIP-arkiv.

Denne kampanjen viser et høyt målrettingsnivå, med fokus på et utvalgt antall organisasjoner, med bekreftelse for øyeblikket begrenset til de som er basert i Polen. Kampanjen er preget av sterk kompartmentalisering, der noen få kompromitterte nettsteder som fungerer som C2-er samhandler med bare et begrenset antall prøver. Denne strukturen gjør det utfordrende å pivotere fra én prøve/C2 til andre innenfor samme infrastruktur.

Bakdører lar trusselaktører utføre ulike truende aktiviteter

Enheter infisert med bakdørstrusler mot skadelig programvare utgjør betydelige farer, inkludert:

  • Uautorisert tilgang: Bakdører gir et snikende inngangspunkt for nettkriminelle til en enhet. Når de er infisert, kan angripere få uautorisert tilgang, kompromittere sensitive data, personlig informasjon eller åndsverk.
  • Datatyveri og spionasje: Bakdører kan utnyttes til å utslette konfidensiell informasjon, for eksempel økonomiske poster, personlige opplysninger eller forretningsstrategier. Disse innsamlede dataene kan brukes til identitetstyveri, bedriftsspionasje eller selges på Dark Web.
  • Vedvarende kontroll: Bakdører muliggjør ofte vedvarende kontroll over en kompromittert enhet. Angripere kan eksternt manipulere enheten, utføre usikre kommandoer og opprettholde tilgang i lengre perioder uten brukerens viten.
  • Utbredelse og sideveis bevegelse: Bakdører kan lette spredningen av skadelig programvare i et nettverk ved å tillate angripere å flytte sideveis fra en enhet til en annen. Dette kan føre til utbredte infeksjoner, noe som gjør det utfordrende for organisasjoner å begrense og utrydde trusselen.
  • Utrulling av løsepengevare: Bakdører kan tjene som et inngangspunkt for å distribuere løsepengevarekryptering av filer på den infiserte enheten eller nettverket. De kriminelle krever deretter løsepenger for dekrypteringsnøkkelen, og forstyrrer normal drift og forårsaker økonomiske tap.
  • Kompromittert systemintegritet: Bakdører kan kompromittere integriteten til et system ved å modifisere eller deaktivere sikkerhetsfunksjoner. Dette kan føre til en rekke problemer, inkludert manglende evne til å oppdage eller fjerne skadelig programvare, noe som gjør enheten sårbar for ytterligere utnyttelse.
  • Supply Chain Attacks: Bakdører kan injiseres i programvare eller fastvare under forsyningskjedeprosessen. Enheter med forhåndsinstallerte bakdører kan distribueres til intetanende brukere, noe som utgjør en betydelig trussel mot enkeltpersoner, bedrifter og til og med kritisk infrastruktur.

For å redusere disse farene er det grunnleggende for enkeltpersoner og organisasjoner å sette opp robuste cybersikkerhetstiltak, inkludert regelmessige programvareoppdateringer, løsninger mot skadelig programvare, nettverksovervåking og brukeropplæring om å gjenkjenne og unngå potensielle trusler.

 

Trender

Mest sett

Laster inn...