Backdoor TinyTurla-NG

Zaobserwowano, że ugrupowanie zagrażające Turla, prawdopodobnie wspierane przez Rosję, w kampanii trwającej trzy miesiące wykorzystywało nowego backdoora o nazwie TinyTurla-NG. Pod koniec 2023 r. celem ataku były organizacje pozarządowe w Polsce. Podobnie jak jego poprzednik, TinyTurla, TinyTurla-NG działa jako kompaktowy backdoor „ostatniej szansy”. Jest strategicznie wdrażany tak, aby pozostawał w stanie uśpienia do czasu, aż wszystkie inne mechanizmy nieautoryzowanego dostępu lub mechanizmy backdoora w zaatakowanych systemach zawiodą lub zostaną wykryte.

Nazwany na podstawie podobieństwa do TinyTurla, TinyTurla-NG to kolejny implant wykorzystywany przez wrogi kolektyw w włamaniach na Stany Zjednoczone, Niemcy i Afganistan co najmniej od 2020 r. Firma zajmująca się cyberbezpieczeństwem początkowo udokumentowała TinyTurla we wrześniu 2021 r.

Grupa Turla APT godzi w cele zgodne z interesami Rosji

Podmioty zagrażające znane jako specjaliści od cyberbezpieczeństwa śledzą Turlę pod różnymi pseudonimami, w tym Iron Hunter, Pensive Ursa, Secret Blizzard (dawniej Krypton ), Snake , Uroburos i Venomous Bear. Ta grupa hakerów jest powiązana z państwem rosyjskim i jego Federalną Służbą Bezpieczeństwa (FSB).

W ostatnich miesiącach Turla obrał za cel sektor obronny na Ukrainie i w Europie Wschodniej, wykorzystując nowego backdoora opartego na platformie .NET o nazwie DeliveryCheck. Jednocześnie ugrupowanie zagrażające zaktualizowało swój długoletni implant drugiego stopnia, Kazuar , który jest używany co najmniej od 2017 r.

Najnowsza kampania z udziałem TinyTurla-NG rozpoczęła się pod koniec 2023 r. i według doniesień trwała do 27 stycznia 2024 r. Istnieją jednak podejrzenia, że złośliwa aktywność mogła rozpocząć się już w listopadzie 2023 r., na podstawie dat kompilacji powiązanego szkodliwego oprogramowania .

TinyTurla-NG służy do dostarczania złośliwego oprogramowania służącego do kradzieży informacji

Metoda dystrybucji backdoora TinyTurla-NG pozostaje obecnie nieznana. Zaobserwowano jednak wykorzystywanie zainfekowanych witryn opartych na WordPressie jako punktów końcowych typu Command-and-Control (C2). Strony te służą do pobierania i wykonywania instrukcji, umożliwiając TinyTurla-NG wykonywanie poleceń za pomocą programu PowerShell lub wiersza poleceń (cmd.exe) oraz ułatwiając pobieranie/przesyłanie plików.

Dodatkowo TinyTurla-NG służy jako kanał do dostarczania TurlaPower-NG, który składa się ze skryptów PowerShell zaprojektowanych w celu wydobywania kluczowych informacji używanych do zabezpieczania baz danych haseł popularnego oprogramowania do zarządzania hasłami. Eksfiltrowane dane są zazwyczaj pakowane w archiwum ZIP.

Kampania ta charakteryzuje się wysokim poziomem targetowania, koncentrując się na wybranej liczbie organizacji, a potwierdzenie jest obecnie ograniczone do organizacji mających siedzibę w Polsce. Kampanię charakteryzuje silny podział, w ramach którego kilka zaatakowanych witryn internetowych służących jako C2 wchodzi w interakcję jedynie z ograniczoną liczbą próbek. Taka struktura utrudnia przechodzenie od jednej próbki/C2 do innych w ramach tej samej infrastruktury.

Backdoory umożliwiają podmiotom zagrażającym wykonywanie różnych niebezpiecznych działań

Urządzenia zainfekowane złośliwym oprogramowaniem typu backdoor stwarzają poważne zagrożenia, w tym:

• Nieautoryzowany dostęp: Backdoory stanowią dla cyberprzestępców ukryty punkt wejścia do urządzenia. Po zainfekowaniu atakujący mogą uzyskać nieautoryzowany dostęp, narażając poufne dane, dane osobowe lub własność intelektualną.
• Kradzież danych i szpiegostwo: Backdoory mogą zostać wykorzystane do wydobycia poufnych informacji, takich jak dokumentacja finansowa, dane osobowe lub strategie biznesowe. Zebrane dane mogą zostać wykorzystane do kradzieży tożsamości, szpiegostwa korporacyjnego lub sprzedane w Dark Web.
• Trwała kontrola: Backdoory często umożliwiają trwałą kontrolę nad zaatakowanym urządzeniem. Atakujący mogą zdalnie manipulować urządzeniem, wykonywać niebezpieczne polecenia i utrzymywać dostęp przez dłuższy czas bez wiedzy użytkownika.
• Propagacja i ruch boczny: Backdoory mogą ułatwiać rozprzestrzenianie się złośliwego oprogramowania w sieci, umożliwiając atakującym boczne przemieszczanie się z jednego urządzenia na drugie. Może to prowadzić do powszechnych infekcji, co utrudnia organizacjom powstrzymanie i wyeliminowanie zagrożenia.
• Wdrażanie oprogramowania ransomware: Backdoory mogą służyć jako punkt wejścia do wdrażania oprogramowania ransomware szyfrującego pliki na zainfekowanym urządzeniu lub w sieci. Następnie przestępcy żądają okupu za klucz deszyfrujący, zakłócając normalne działanie i powodując straty finansowe.
• Naruszona integralność systemu: Backdoory mogą naruszyć integralność systemu poprzez modyfikację lub wyłączenie funkcji bezpieczeństwa. Może to prowadzić do szeregu problemów, w tym niemożności wykrycia lub usunięcia złośliwego oprogramowania, narażając urządzenie na dalsze wykorzystanie.
• Ataki na łańcuch dostaw: Backdoory mogą zostać wprowadzone do oprogramowania lub oprogramowania sprzętowego podczas procesu łańcucha dostaw. Urządzenia z preinstalowanymi backdoorami mogą być dystrybuowane wśród niczego niepodejrzewających użytkowników, stwarzając poważne zagrożenie dla osób fizycznych, firm, a nawet infrastruktury krytycznej.

Aby złagodzić te zagrożenia, dla osób i organizacji niezwykle ważne jest wdrożenie solidnych środków cyberbezpieczeństwa, w tym regularnych aktualizacji oprogramowania, rozwiązań chroniących przed złośliwym oprogramowaniem, monitorowania sieci i edukacji użytkowników w zakresie rozpoznawania i unikania potencjalnych zagrożeń.