Бэкдор TinyTurla-NG

Угроза Turla, предположительно поддерживаемая Россией, была замечена в использовании нового бэкдора под названием TinyTurla-NG в ходе кампании, продолжавшейся три месяца. Операция атаки была конкретно нацелена на неправительственные организации в Польше в конце 2023 года. Как и ее предшественник TinyTurla, TinyTurla-NG функционирует как компактный бэкдор «последнего средства». Стратегически он используется так, чтобы оставаться в бездействии до тех пор, пока все другие механизмы несанкционированного доступа или бэкдоры в скомпрометированных системах либо не выйдут из строя, либо не будут обнаружены.

TinyTurla-NG, названный в честь своего сходства с TinyTurla, представляет собой еще один имплант, используемый враждебным коллективом во вторжениях, нацеленных на США, Германию и Афганистан, по крайней мере, с 2020 года. Компания по кибербезопасности первоначально задокументировала TinyTurla в сентябре 2021 года.

Группа Turla APT преследует цели, соответствующие интересам России

Злоумышленники, известные как специалисты по кибербезопасности, отслеживают Turla под разными псевдонимами, включая Iron Hunter, Pensive Ursa, Secret Blizzard (ранее Krypton ), Snake , Uroburos и Venomous Bear. Эта хакерская группа аффилирована с российским государством и связана с его Федеральной службой безопасности (ФСБ).

В последние месяцы Turla специально нацелилась на оборонный сектор Украины и Восточной Европы, применив новый бэкдор на базе .NET под названием DeliveryCheck. Одновременно с этим злоумышленник модернизировал свой давний имплант второй ступени Kazuar , который используется как минимум с 2017 года.

Самая последняя кампания с участием TinyTurla-NG началась в конце 2023 года и, как сообщается, продолжалась до 27 января 2024 года. Однако есть подозрения, что вредоносная активность могла начаться уже в ноябре 2023 года, исходя из дат компиляции соответствующего вредоносного ПО. .

TinyTurla-NG используется для доставки вредоносного ПО-инфовора

Способ распространения бэкдора TinyTurla-NG в настоящее время остается неизвестным. Однако было замечено использование скомпрометированных веб-сайтов на базе WordPress в качестве конечных точек управления и контроля (C2). Эти веб-сайты служат для получения и выполнения инструкций, позволяя TinyTurla-NG выполнять команды через PowerShell или командную строку (cmd.exe) и облегчают загрузку/загрузку файлов.

Кроме того, TinyTurla-NG служит каналом для доставки TurlaPower-NG, который состоит из сценариев PowerShell, предназначенных для извлечения важной информации, используемой для защиты баз данных паролей популярного программного обеспечения для управления паролями. Удаленные данные обычно упаковываются в ZIP-архив.

Эта кампания демонстрирует высокий уровень таргетинга, фокусируясь на избранном числе организаций, причем подтверждение в настоящее время ограничено теми, которые базируются в Польше. Кампания характеризуется сильной раздробленностью: несколько взломанных веб-сайтов, выступающих в качестве C2, взаимодействуют лишь с ограниченным количеством образцов. Такая структура затрудняет переход от одной выборки/C2 к другим в рамках одной инфраструктуры.

Бэкдоры позволяют злоумышленникам выполнять различные угрожающие действия

Устройства, зараженные бэкдорными вредоносными программами, представляют значительную опасность, в том числе:

• Несанкционированный доступ: бэкдоры предоставляют киберпреступникам скрытую точку входа в устройство. После заражения злоумышленники могут получить несанкционированный доступ, ставя под угрозу конфиденциальные данные, личную информацию или интеллектуальную собственность.
• Кража данных и шпионаж. Бэкдоры могут использоваться для кражи конфиденциальной информации, такой как финансовые отчеты, личные данные или бизнес-стратегии. Эти собранные данные могут быть использованы для кражи личных данных, корпоративного шпионажа или проданы в даркнете.
• Постоянный контроль. Бэкдоры часто обеспечивают постоянный контроль над взломанным устройством. Злоумышленники могут удаленно манипулировать устройством, выполнять небезопасные команды и сохранять доступ в течение длительного времени без ведома пользователя.
• Распространение и горизонтальное перемещение. Бэкдоры могут способствовать распространению вредоносного ПО внутри сети, позволяя злоумышленникам перемещаться с одного устройства на другое. Это может привести к широкому распространению инфекций, что усложнит организациям задачу по сдерживанию и искоренению угрозы.
• Развертывание программ-вымогателей. Бэкдоры могут служить точкой входа для развертывания программ-вымогателей, шифрующих файлы, на зараженном устройстве или в сети. Затем преступники требуют выкуп за ключ дешифрования, нарушая нормальную работу и вызывая финансовые потери.
• Нарушение целостности системы. Бэкдоры могут поставить под угрозу целостность системы, изменяя или отключая функции безопасности. Это может привести к ряду проблем, включая невозможность обнаружить или удалить вредоносное ПО, что сделает устройство уязвимым для дальнейшего использования.
• Атаки на цепочку поставок: бэкдоры могут быть внедрены в программное обеспечение или встроенное ПО в процессе цепочки поставок. Устройства с предустановленными бэкдорами могут быть переданы ничего не подозревающим пользователям, создавая значительную угрозу для частных лиц, предприятий и даже критической инфраструктуры.

Чтобы смягчить эти опасности, для отдельных лиц и организаций крайне важно принять надежные меры кибербезопасности, включая регулярные обновления программного обеспечения, решения для защиты от вредоносного ПО, мониторинг сети и обучение пользователей распознаванию и предотвращению потенциальных угроз.