TinyTurla-NG ब्याकडोर
रुसले समर्थन गरेको विश्वास गरिएको टुर्ला धम्की अभिनेताले तीन महिना लामो अभियानमा TinyTurla-NG नामक नयाँ ब्याकडोर प्रयोग गरेको देखियो। आक्रमण अपरेशनले विशेष गरी पोल्याण्डका गैर-सरकारी संस्थाहरूलाई २०२३ को अन्त्यतिर लक्षित गरेको थियो। यसको पूर्ववर्ती, TinyTurla जस्तै TinyTurla-NG ले कम्प्याक्ट 'अन्तिम उपाय' ब्याकडोरको रूपमा कार्य गर्दछ। सम्झौता गरिएका प्रणालीहरूमा अन्य सबै अनाधिकृत पहुँच वा ब्याकडोर मेकानिजमहरू असफल वा पत्ता नलाग्दासम्म यसलाई निष्क्रिय रहन रणनीतिक रूपमा प्रयोग गरिन्छ।
TinyTurla सँग मिल्दोजुल्दो भएकोले नाम दिइएको, TinyTurla-NG कम्तिमा २०२० देखि संयुक्त राज्य अमेरिका, जर्मनी र अफगानिस्तानलाई लक्षित गरी विरोधी सामूहिक घुसपैठमा प्रयोग गरिएको अर्को प्रत्यारोपण हो। साइबरसुरक्षा कम्पनीले सुरुमा सेप्टेम्बर २०२१ मा TinyTurla को दस्तावेजीकरण गर्यो।
सामग्रीको तालिका
टुर्ला एपीटी समूहले रुसको हितसँग मिलाएर लक्ष्यहरू कम गर्दै आएको छ
साइबरसुरक्षा विशेषज्ञहरू भनेर चिनिने खतरा अभिनेताहरूले टुर्लालाई विभिन्न उपनामहरू अन्तर्गत ट्र्याक गर्छन्, जसमा आइरन हन्टर, पेन्सिभ उर्सा, सेक्रेट ब्लीजार्ड (पहिले क्रिप्टन ), स्नेक , उरोबुरोस र विषालु भालुहरू समावेश छन्। यो ह्याकर समूह रुसी राज्यसँग सम्बद्ध छ र यसको संघीय सुरक्षा सेवा (FSB) सँग जोडिएको छ।
हालैका महिनाहरूमा, Turla ले विशेष रूपमा युक्रेन र पूर्वी युरोपमा रक्षा क्षेत्रलाई लक्षित गरेको छ, नयाँ .NET-आधारित ब्याकडोरलाई DeliveryCheck नाम दिइएको छ। यसका साथसाथै, खतरा अभिनेताले आफ्नो लामो समयदेखि चलिरहेको दोस्रो-चरण प्रत्यारोपण, काजुआर अपग्रेड गरेको छ, जुन कम्तिमा 2017 देखि प्रयोगमा छ।
TinyTurla-NG ट्रेसहरू 2023 को अन्त्यमा फिर्ता देखाइएको सबैभन्दा भर्खरको अभियान र कथित रूपमा जनवरी 27, 2024 सम्म जारी रह्यो। यद्यपि, त्यहाँ सम्बद्ध मालवेयरको संकलन मितिहरूको आधारमा नोभेम्बर 2023 को सुरुमा खराब गतिविधि सुरु भएको हुन सक्छ भन्ने शंकाहरू छन्। ।
TinyTurla-NG Infostealer मालवेयरको डेलिभरीको लागि प्रयोग गरिन्छ
TinyTurla-NG ब्याकडोरको वितरण विधि हाल अज्ञात छ। यद्यपि, यो कमाण्ड-एन्ड-कन्ट्रोल (C2) अन्त्य बिन्दुहरूको रूपमा सम्झौता गरिएको WordPress-आधारित वेबसाइटहरू प्रयोग गरिरहेको अवलोकन गरिएको छ। यी वेबसाइटहरूले TinyTurla-NG लाई PowerShell वा Command Prompt (cmd.exe) मार्फत आदेशहरू कार्यान्वयन गर्न र फाइल डाउनलोड/अपलोड गतिविधिहरूलाई सहजीकरण गर्न अनुमति दिँदै निर्देशनहरू पुन: प्राप्त गर्न र कार्यान्वयन गर्न सेवा गर्दछ।
थप रूपमा, TinyTurla-NG ले TurlaPower-NG लाई डेलिभर गर्नको लागि एक कन्ड्युटको रूपमा काम गर्दछ, जसमा लोकप्रिय पासवर्ड व्यवस्थापन सफ्टवेयरको पासवर्ड डाटाबेसहरू सुरक्षित गर्न प्रयोग गरिने महत्त्वपूर्ण जानकारी बाहिर निकाल्न डिजाइन गरिएको PowerShell स्क्रिप्टहरू हुन्छन्। exfiltrated डाटा सामान्यतया ZIP अभिलेखमा प्याकेज गरिन्छ।
यो अभियानले उच्च स्तरको लक्ष्यीकरण प्रदर्शन गर्दछ, संगठनहरूको चयन संख्यामा केन्द्रित छ, पुष्टिकरण हाल पोल्याण्डमा रहेकाहरूमा सीमित छ। अभियानलाई बलियो कम्पार्टमेन्टलाइजेसनद्वारा विशेषता गरिएको छ, जहाँ C2s को रूपमा सेवा गर्ने केही सम्झौता गरिएका वेबसाइटहरूले मात्र सीमित संख्यामा नमूनाहरूसँग अन्तरक्रिया गर्छन्। यो संरचनाले एउटै पूर्वाधार भित्र एउटा नमूना/C2 बाट अन्यमा पिभोट गर्न चुनौतीपूर्ण बनाउँछ।
ब्याकडोरहरूले धम्की दिने अभिनेताहरूलाई विभिन्न धम्की दिने गतिविधिहरू गर्न अनुमति दिन्छ
ब्याकडोर मालवेयर धम्कीबाट संक्रमित यन्त्रहरूले महत्त्वपूर्ण खतराहरू निम्त्याउँछन्, जसमा:
- अनाधिकृत पहुँच: ब्याकडोरहरूले साइबर अपराधीहरूलाई उपकरणमा लुकेको प्रवेश बिन्दु प्रदान गर्दछ। एक पटक संक्रमित भएपछि, आक्रमणकारीहरूले अनाधिकृत पहुँच, संवेदनशील डेटा, व्यक्तिगत जानकारी, वा बौद्धिक सम्पत्तिमा सम्झौता गर्न सक्छन्।
- डाटा चोरी र जासुसी: गोप्य जानकारी, जस्तै वित्तीय अभिलेख, व्यक्तिगत विवरण, वा व्यापार रणनीतिहरू बाहिर निकाल्न ब्याकडोरको दुरुपयोग गर्न सकिन्छ। यो सङ्कलन गरिएको डाटा पहिचान चोरी, कर्पोरेट जासुसी वा डार्क वेबमा बेच्न प्रयोग गर्न सकिन्छ।
- लगातार नियन्त्रण: ब्याकडोरहरूले प्राय: सम्झौता गरिएको उपकरणमा निरन्तर नियन्त्रण सक्षम गर्दछ। आक्रमणकारीहरूले टाढाबाट उपकरणलाई हेरफेर गर्न सक्छन्, असुरक्षित आदेशहरू कार्यान्वयन गर्न सक्छन्, र प्रयोगकर्ताको जानकारी बिना विस्तारित अवधिको लागि पहुँच कायम राख्न सक्छन्।
- प्रचार र पार्श्व आन्दोलन: ब्याकडोरहरूले आक्रमणकर्ताहरूलाई एक यन्त्रबाट अर्को यन्त्रमा पार्श्व सार्न अनुमति दिएर नेटवर्क भित्र मालवेयरको फैलावटलाई सहज बनाउन सक्छ। यसले व्यापक संक्रमण निम्त्याउन सक्छ, यसले संगठनहरूलाई खतरालाई समावेश गर्न र उन्मूलन गर्न चुनौतीपूर्ण बनाउँछ।
- Ransomware डिप्लोयमेन्ट: ब्याकडोरहरूले संक्रमित यन्त्र वा नेटवर्कमा ransomware इन्क्रिप्टिङ फाइलहरू डिप्लोय गर्नको लागि प्रविष्टि बिन्दुको रूपमा सेवा गर्न सक्छ। त्यसपछि अपराधीहरूले डिक्रिप्शन कुञ्जीको लागि फिरौती माग्छन्, सामान्य कार्यहरू अवरुद्ध पार्छन् र आर्थिक नोक्सान निम्त्याउँछन्।
- सम्झौता प्रणाली अखण्डता: ब्याकडोरहरूले सुरक्षा सुविधाहरू परिमार्जन वा असक्षम गरेर प्रणालीको अखण्डतामा सम्झौता गर्न सक्छ। यसले समस्याहरूको दायरा निम्त्याउन सक्छ, मालवेयर पत्ता लगाउन वा हटाउन असक्षमता सहित, उपकरणलाई थप शोषणको लागि जोखिममा राख्दै।
- आपूर्ति श्रृंखला आक्रमणहरू: ब्याकडोरहरू सप्लाई चेन प्रक्रियाको क्रममा सफ्टवेयर वा फर्मवेयरमा इन्जेक्ट गर्न सकिन्छ। पूर्व-स्थापित ब्याकडोरहरू भएका यन्त्रहरू व्यक्तिहरू, व्यवसायहरू, र महत्त्वपूर्ण पूर्वाधारहरूमा पनि महत्त्वपूर्ण खतरा उत्पन्न गर्ने, शंका नगर्ने प्रयोगकर्ताहरूलाई वितरण गर्न सकिन्छ।
यी खतराहरूलाई कम गर्न, व्यक्ति र संस्थाहरूले नियमित सफ्टवेयर अद्यावधिकहरू, एन्टी-मालवेयर समाधानहरू, नेटवर्क निगरानी, र सम्भावित खतराहरू पहिचान गर्न र बेवास्ता गर्न प्रयोगकर्ता शिक्षा लगायत बलियो साइबर सुरक्षा उपायहरू सेट अप गर्नु आधारभूत छ।
