TinyTurla-NG-achterdeur

Er is waargenomen dat de Turla-bedreigingsacteur, vermoedelijk gesteund door Rusland, een nieuwe achterdeur genaamd TinyTurla-NG inzette tijdens een campagne die drie maanden duurde. De aanvalsoperatie was eind 2023 specifiek gericht op niet-gouvernementele organisaties in Polen. Net als zijn voorganger, TinyTurla, functioneert TinyTurla-NG als een compacte 'laatste redmiddel'-achterdeur. Het wordt strategisch ingezet om inactief te blijven totdat alle andere ongeautoriseerde toegang of achterdeurmechanismen op de aangetaste systemen zijn mislukt of ontdekt.

TinyTurla-NG, genoemd naar zijn gelijkenis met TinyTurla, is een ander implantaat dat sinds minstens 2020 door het vijandige collectief wordt gebruikt bij inbraken gericht op de VS, Duitsland en Afghanistan. Het cyberbeveiligingsbedrijf documenteerde TinyTurla aanvankelijk in september 2021.

De Turla APT-groep compromitteert doelstellingen die in lijn zijn met de Russische belangen

De dreigingsactoren die bekend staan als cyberbeveiligingsspecialisten volgen Turla onder verschillende aliassen, waaronder Iron Hunter, Pensive Ursa, Secret Blizzard (voorheen Krypton ), Snake , Uroburos en Venomous Bear. Deze hackersgroep is gelieerd aan de Russische staat en gekoppeld aan de Federale Veiligheidsdienst (FSB).

De afgelopen maanden heeft Turla zich specifiek gericht op de defensiesector in Oekraïne en Oost-Europa, met behulp van een nieuwe op .NET gebaseerde achterdeur genaamd DeliveryCheck. Tegelijkertijd heeft de bedreigingsactoren zijn reeds lang bestaande tweede fase-implantaat, Kazuar , geüpgraded, dat in ieder geval sinds 2017 in gebruik is.

De meest recente campagne met TinyTurla-NG gaat terug tot eind 2023 en duurde naar verluidt tot 27 januari 2024. Er zijn echter vermoedens dat de kwaadaardige activiteit al in november 2023 zou kunnen zijn begonnen, gebaseerd op de compilatiedata van de bijbehorende malware. .

TinyTurla-NG wordt gebruikt voor de levering van Infostealer-malware

De distributiemethode van de TinyTurla-NG-achterdeur is momenteel nog onbekend. Er is echter waargenomen dat gecompromitteerde, op WordPress gebaseerde websites worden gebruikt als Command-and-Control (C2)-eindpunten. Deze websites dienen voor het ophalen en uitvoeren van instructies, waardoor TinyTurla-NG opdrachten kan uitvoeren via PowerShell of de opdrachtprompt (cmd.exe) en het downloaden/uploaden van bestanden mogelijk maakt.

Bovendien fungeert TinyTurla-NG als kanaal voor het leveren van TurlaPower-NG, dat bestaat uit PowerShell-scripts die zijn ontworpen om cruciale informatie te exfiltreren die wordt gebruikt om wachtwoorddatabases van populaire wachtwoordbeheersoftware te beveiligen. De geëxfiltreerde gegevens worden doorgaans verpakt in een ZIP-archief.

Deze campagne vertoont een hoog targetingniveau en richt zich op een select aantal organisaties, waarvan de bevestiging momenteel beperkt is tot de organisaties die in Polen gevestigd zijn. De campagne wordt gekenmerkt door een sterke compartimentering, waarbij enkele gecompromitteerde websites die als C2's dienen, slechts met een beperkt aantal voorbeelden communiceren. Deze structuur maakt het een uitdaging om binnen dezelfde infrastructuur van de ene sample/C2 naar de andere te switchen.

Backdoors zorgen ervoor dat bedreigingsactoren verschillende bedreigende activiteiten kunnen uitvoeren

Apparaten die zijn geïnfecteerd met backdoor-malwarebedreigingen vormen aanzienlijke gevaren, waaronder:

• Ongeautoriseerde toegang: Achterdeurtjes bieden cybercriminelen een sluipende toegangspoort tot een apparaat. Eenmaal geïnfecteerd kunnen aanvallers ongeautoriseerde toegang verkrijgen, waardoor gevoelige gegevens, persoonlijke informatie of intellectueel eigendom in gevaar kunnen worden gebracht.
• Gegevensdiefstal en spionage: Achterdeurtjes kunnen worden misbruikt om vertrouwelijke informatie te ontfutselen, zoals financiële gegevens, persoonlijke gegevens of bedrijfsstrategieën. Deze verzamelde gegevens kunnen worden gebruikt voor identiteitsdiefstal, bedrijfsspionage of worden verkocht op het Dark Web.
• Aanhoudende controle: Backdoors maken vaak aanhoudende controle over een gecompromitteerd apparaat mogelijk. Aanvallers kunnen het apparaat op afstand manipuleren, onveilige opdrachten uitvoeren en gedurende langere perioden toegang behouden zonder medeweten van de gebruiker.
• Voortplanting en laterale verplaatsing: Backdoors kunnen de verspreiding van malware binnen een netwerk vergemakkelijken door aanvallers de mogelijkheid te bieden zich lateraal van het ene apparaat naar het andere te verplaatsen. Dit kan leiden tot wijdverbreide infecties, waardoor het voor organisaties een uitdaging wordt om de dreiging in bedwang te houden en uit te roeien.
• Implementatie van ransomware: Backdoors kunnen dienen als toegangspunt voor het implementeren van ransomware-versleutelende bestanden op het geïnfecteerde apparaat of netwerk. De criminelen eisen vervolgens losgeld voor de decoderingssleutel, waardoor de normale werking wordt verstoord en financiële verliezen worden veroorzaakt.
• Gecompromitteerde systeemintegriteit: Backdoors kunnen de integriteit van een systeem in gevaar brengen door beveiligingsfuncties te wijzigen of uit te schakelen. Dit kan tot een reeks problemen leiden, waaronder het onvermogen om de malware te detecteren of te verwijderen, waardoor het apparaat kwetsbaar wordt voor verdere exploitatie.
• Supply Chain-aanvallen: Backdoors kunnen tijdens het supply chain-proces in software of firmware worden geïnjecteerd. Apparaten met vooraf geïnstalleerde backdoors kunnen worden gedistribueerd naar nietsvermoedende gebruikers, wat een aanzienlijke bedreiging vormt voor individuen, bedrijven en zelfs kritieke infrastructuur.

Om deze gevaren te beperken is het van fundamenteel belang dat individuen en organisaties robuuste cyberbeveiligingsmaatregelen treffen, waaronder regelmatige software-updates, anti-malwareoplossingen, netwerkmonitoring en gebruikerseducatie over het herkennen en vermijden van potentiële bedreigingen.