Multi-License Discount Quote
Banco de Dados de Ameaças Backdoors TinyTurla-NG Backdoor

TinyTurla-NG Backdoor

Por Mezo em Backdoors, Advanced Persistent Threat (APT), Stealers
Traduzir Para:
Português

O autor da ameaça Turla, que se acredita ser apoiado pela Rússia, foi observado empregando um novo backdoor chamado TinyTurla-NG em uma campanha que durou três meses. A operação de ataque teve como alvo específico organizações não governamentais na Polónia no final de 2023. Semelhante ao seu antecessor, TinyTurla, o TinyTurla-NG funciona como uma backdoor compacta de “último recurso”. Ele é estrategicamente implantado para permanecer inativo até que todos os outros mecanismos de acesso não autorizado ou backdoor nos sistemas comprometidos falhem ou sejam descobertos.

Nomeado por sua semelhança com o TinyTurla, o TinyTurla-NG é outro implante utilizado pelo coletivo adversário em invasões visando os EUA, a Alemanha e o Afeganistão desde pelo menos 2020. A empresa de segurança cibernética documentou inicialmente o TinyTurla em setembro de 2021.

O Grupo Turla APT Vem Comprometendo Alvos Alinhados aos Interesses da Rússia

Os atores de ameaças conhecidos como especialistas em segurança cibernética rastreiam Turla sob vários pseudônimos, incluindo Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake,Uroburos e Venomous Bear. Este grupo de hackers é afiliado ao estado russo e vinculado ao seu Serviço Federal de Segurança (FSB).

Nos últimos meses, Turla mirou especificamente no setor de defesa na Ucrânia e na Europa Oriental, empregando um novo backdoor baseado em .NET chamado DeliveryCheck. Simultaneamente, o agente da ameaça atualizou o seu antigo implante de segundo estágio, Kazuar, que está em uso desde pelo menos 2017.

A campanha mais recente apresentando TinyTurla-NG remonta ao final de 2023 e supostamente continuou até 27 de janeiro de 2024. No entanto, há suspeitas de que a atividade maliciosa pode ter começado já em novembro de 2023, com base nas datas de compilação do malware associado. .

O TinyTurla-NG é Usado para a Entrega de um Malware Infostealer

O método de distribuição do backdoor TinyTurla-NG permanece desconhecido no momento. No entanto, foi observado o uso de sites comprometidos baseados em WordPress como terminais de comando e controle (C2). Esses sites servem para recuperar e executar instruções, permitindo que o TinyTurla-NG execute comandos por meio do PowerShell ou do prompt de comando (cmd.exe) e facilite as atividades de download/upload de arquivos.

Além disso, o TinyTurla-NG serve como um canal para fornecer o TurlaPower-NG, que consiste em scripts PowerShell projetados para exfiltrar informações cruciais usadas para proteger bancos de dados de senhas de softwares populares de gerenciamento de senhas. Os dados exfiltrados são normalmente empacotados em um arquivo ZIP.

Esta campanha apresenta um elevado nível de segmentação, centrando-se num número selecionado de organizações, com confirmação atualmente limitada às baseadas na Polónia. A campanha é caracterizada por uma forte compartimentação, onde alguns sites comprometidos que servem como C2 interagem apenas com um número limitado de amostras. Essa estrutura torna difícil migrar de uma amostra/C2 para outras dentro da mesma infraestrutura.

Os Backdoors Permitem que Autores de Ameaças Realizem Diversas Atividades Ameaçadoras

Dispositivos infectados com ameaças de malware backdoor representam perigos significativos, incluindo:

  • Acesso não autorizado: Backdoors fornecem um ponto de entrada furtivo para cibercriminosos em um dispositivo. Uma vez infectados, os invasores podem obter acesso não autorizado, comprometendo dados confidenciais, informações pessoais ou propriedade intelectual.
  • Roubo de dados e espionagem: Backdoors podem ser explorados para exfiltrar informações confidenciais, como registros financeiros, dados pessoais ou estratégias de negócios. Esses dados coletados podem ser usados para roubo de identidade, espionagem corporativa ou vendidos na Dark Web.
  • Controle persistente: Backdoors geralmente permitem controle persistente sobre um dispositivo comprometido. Os invasores podem manipular remotamente o dispositivo, executar comandos inseguros e manter o acesso por longos períodos sem o conhecimento do usuário.
  • Propagação e movimento lateral: Backdoors podem facilitar a propagação de malware dentro de uma rede, permitindo que invasores se movam lateralmente de um dispositivo para outro. Isto pode levar a infecções generalizadas, tornando difícil para as organizações conter e erradicar a ameaça.
  • Implantação de ransomware: Backdoors podem servir como ponto de entrada para implantação de ransomware criptografando arquivos no dispositivo ou rede infectado. Os criminosos então exigem um resgate pela chave de descriptografia, interrompendo as operações normais e causando perdas financeiras.
  • Integridade do sistema comprometida: Backdoors podem comprometer a integridade de um sistema ao modificar ou desabilitar recursos de segurança. Isto pode levar a uma série de problemas, incluindo a incapacidade de detectar ou remover o malware, deixando o dispositivo vulnerável a futuras explorações.
  • Ataques à cadeia de suprimentos: Backdoors podem ser injetados em software ou firmware durante o processo da cadeia de suprimentos. Dispositivos com backdoors pré-instalados podem ser distribuídos para usuários desavisados, representando uma ameaça significativa para indivíduos, empresas e até mesmo infraestruturas críticas.

Para mitigar estes perigos, é fundamental que indivíduos e organizações estabeleçam medidas robustas de cibersegurança, incluindo atualizações regulares de software, soluções antimalware, monitorização de rede e educação dos utilizadores sobre como reconhecer e evitar ameaças potenciais.

Tendendo

Mais visto

Carregando...