TinyTurla-NG Backdoor

Actorul de amenințare Turla, despre care se crede că este susținut de Rusia, a fost observat folosind o nouă ușă din spate numită TinyTurla-NG într-o campanie de trei luni. Operațiunea de atac a vizat în mod special organizațiile neguvernamentale din Polonia spre sfârșitul anului 2023. La fel ca predecesorul său, TinyTurla, TinyTurla-NG funcționează ca o „ultimă soluție” compactă. Este implementat strategic pentru a rămâne inactiv până când toate celelalte mecanisme de acces neautorizat sau backdoor de pe sistemele compromise fie au eșuat, fie au fost descoperite.

Numit după asemănarea sa cu TinyTurla, TinyTurla-NG este un alt implant utilizat de colectivul adversar în intruziunile care vizează SUA, Germania și Afganistan din cel puțin 2020. Compania de securitate cibernetică a documentat inițial TinyTurla în septembrie 2021.

Grupul Turla APT a compromis ținte aliniate cu interesele Rusiei

Actorii de amenințări cunoscuți ca specialiști în securitate cibernetică îl urmăresc pe Turla sub diferite pseudonime, inclusiv Iron Hunter, Pensive Ursa, Secret Blizzard (fostul Krypton ), Snake , Uroburos și Venomous Bear. Acest grup de hackeri este afiliat statului rus și este legat de Serviciul său Federal de Securitate (FSB).

În ultimele luni, Turla a vizat în mod specific sectorul apărării din Ucraina și Europa de Est, utilizând o nouă ușă din spate bazată pe .NET, numită DeliveryCheck. Simultan, actorul amenințării și-a modernizat implantul de lungă durată din a doua etapă, Kazuar , care a fost folosit cel puțin din 2017.

Cea mai recentă campanie cu TinyTurla-NG datează de la sfârșitul anului 2023 și a continuat până la 27 ianuarie 2024. Cu toate acestea, există suspiciuni că activitatea rău intenționată ar fi putut începe încă din noiembrie 2023, pe baza datelor de compilare a malware-ului asociat. .

TinyTurla-NG este folosit pentru livrarea de malware Infostealer

Metoda de distribuție a ușii din spate TinyTurla-NG rămâne necunoscută în prezent. Cu toate acestea, s-a observat utilizarea site-urilor web compromise bazate pe WordPress ca puncte finale Command-and-Control (C2). Aceste site-uri web servesc pentru a prelua și executa instrucțiuni, permițând TinyTurla-NG să execute comenzi prin PowerShell sau Command Prompt (cmd.exe) și să faciliteze activitățile de descărcare/încărcare a fișierelor.

În plus, TinyTurla-NG servește drept canal pentru livrarea TurlaPower-NG, care constă din script-uri PowerShell concepute pentru a filtra informații cruciale utilizate pentru a securiza bazele de date de parole ale software-ului popular de gestionare a parolelor. Datele exfiltrate sunt de obicei ambalate într-o arhivă ZIP.

Această campanie prezintă un nivel ridicat de direcționare, concentrându-se pe un număr selectat de organizații, confirmarea fiind în prezent limitată la cele cu sediul în Polonia. Campania se caracterizează printr-o compartimentare puternică, în care câteva site-uri web compromise care servesc drept C2 interacționează doar cu un număr limitat de mostre. Această structură face dificilă pivotarea de la un eșantion/C2 la altele în cadrul aceleiași infrastructuri.

Ușile din spate le permit actorilor de amenințări să efectueze diverse activități amenințătoare

Dispozitivele infectate cu amenințări malware backdoor prezintă pericole semnificative, inclusiv:

• Acces neautorizat: ușile din spate oferă un punct de intrare ascuns pentru infractorii cibernetici într-un dispozitiv. Odată infectați, atacatorii pot obține acces neautorizat, compromițând datele sensibile, informațiile personale sau proprietatea intelectuală.
• Furtul de date și spionajul: ușile din spate pot fi exploatate pentru a exfiltra informații confidențiale, cum ar fi înregistrări financiare, detalii personale sau strategii de afaceri. Aceste date colectate pot fi folosite pentru furt de identitate, spionaj corporativ sau vândute pe Dark Web.
• Control persistent: ușile din spate permit adesea controlul persistent asupra unui dispozitiv compromis. Atacatorii pot manipula dispozitivul de la distanță, pot executa comenzi nesigure și pot menține accesul pentru perioade îndelungate fără știrea utilizatorului.
• Propagare și mișcare laterală: ușile din spate pot facilita răspândirea programelor malware în cadrul unei rețele, permițând atacatorilor să se deplaseze lateral de la un dispozitiv la altul. Acest lucru poate duce la infecții pe scară largă, ceea ce face ca organizațiile să fie dificil să stăpânească și să elimine amenințarea.
• Implementarea ransomware: ușile din spate pot servi ca punct de intrare pentru implementarea fișierelor de criptare ransomware pe dispozitivul sau rețeaua infectată. Infractorii cer apoi o răscumpărare pentru cheia de decriptare, perturbând operațiunile normale și provocând pierderi financiare.
• Integritate compromisă a sistemului: ușile din spate pot compromite integritatea unui sistem prin modificarea sau dezactivarea caracteristicilor de securitate. Acest lucru ar putea duce la o serie de probleme, inclusiv incapacitatea de a detecta sau elimina malware-ul, lăsând dispozitivul vulnerabil la exploatarea ulterioară.
• Atacurile lanțului de aprovizionare: ușile din spate pot fi injectate în software sau firmware în timpul procesului lanțului de aprovizionare. Dispozitivele cu uși din spate preinstalate pot fi distribuite utilizatorilor nebănuiți, reprezentând o amenințare semnificativă pentru persoane fizice, companii și chiar pentru infrastructura critică.

Pentru a atenua aceste pericole, este fundamental ca indivizii și organizațiile să stabilească măsuri robuste de securitate cibernetică, inclusiv actualizări regulate de software, soluții anti-malware, monitorizare a rețelei și educarea utilizatorilor cu privire la recunoașterea și evitarea potențialelor amenințări.