Zadné dvierka TinyTurla-NG

Aktér hrozby Turla, o ktorom sa predpokladá, že ho podporuje Rusko, bol pozorovaný, ako v kampani trvajúcej tri mesiace využíva nové zadné vrátka s názvom TinyTurla-NG. Útočná operácia sa koncom roka 2023 špecificky zamerala na mimovládne organizácie v Poľsku. Podobne ako jej predchodca TinyTurla, aj TinyTurla-NG funguje ako kompaktné zadné vrátka „poslednej možnosti“. Je strategicky nasadená tak, aby zostala nečinná, kým všetky ostatné mechanizmy neoprávneného prístupu alebo zadné vrátka na napadnutých systémoch buď zlyhajú, alebo sa neodhalia.

TinyTurla-NG, pomenovaný pre svoju podobnosť s TinyTurla, je ďalším implantátom, ktorý využíva nepriateľský kolektív pri prienikoch zameraných na USA, Nemecko a Afganistan minimálne od roku 2020. Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou pôvodne zdokumentovala TinyTurla v septembri 2021.

Skupina Turla APT kompromitovala ciele zosúladené so záujmami Ruska

Aktéri hrozieb známi ako špecialisti na kybernetickú bezpečnosť sledujú Turlu pod rôznymi prezývkami, vrátane Iron Hunter, Pensive Ursa, Secret Blizzard (predtým Krypton ), Snake , Uroburos a Venomous Bear. Táto hackerská skupina je pridružená k ruskému štátu a napojená na jeho Federálnu bezpečnostnú službu (FSB).

V posledných mesiacoch sa Turla špecificky zamerala na sektor obrany na Ukrajine a vo východnej Európe, pričom využívala nové zadné vrátka založené na .NET s názvom DeliveryCheck. Súčasne aktér hrozby vylepšil svoj dlhodobý implantát druhej fázy, Kazuar , ktorý sa používa minimálne od roku 2017.

Najnovšia kampaň s TinyTurla-NG siaha do konca roka 2023 a údajne pokračovala do 27. januára 2024. Existujú však podozrenia, že zákerná aktivita sa mohla začať už v novembri 2023 na základe dátumov kompilácie súvisiaceho malvéru. .

TinyTurla-NG sa používa na doručovanie malvéru Infostealer

Spôsob distribúcie zadného vrátka TinyTurla-NG zostáva v súčasnosti neznámy. Bolo však pozorované, že ako koncové body Command-and-Control (C2) sa využívajú napadnuté webové stránky založené na WordPress. Tieto webové stránky slúžia na získavanie a vykonávanie inštrukcií, čo umožňuje TinyTurla-NG vykonávať príkazy cez PowerShell alebo príkazový riadok (cmd.exe) a uľahčovať sťahovanie/nahrávanie súborov.

Okrem toho TinyTurla-NG slúži ako kanál na poskytovanie TurlaPower-NG, ktorý pozostáva zo skriptov PowerShell navrhnutých na extrakciu dôležitých informácií používaných na zabezpečenie databáz hesiel obľúbeného softvéru na správu hesiel. Exfiltrované údaje sú zvyčajne zabalené do archívu ZIP.

Táto kampaň vykazuje vysokú úroveň zacielenia so zameraním na vybraný počet organizácií, pričom potvrdenie je v súčasnosti obmedzené na organizácie so sídlom v Poľsku. Kampaň sa vyznačuje silnou kompartmentalizáciou, kde niekoľko kompromitovaných webových stránok slúžiacich ako C2 interaguje iba s obmedzeným počtom vzoriek. Táto štruktúra sťažuje prechod z jednej vzorky/C2 na iné v rámci rovnakej infraštruktúry.

Zadné vrátka umožňujú aktérom hrozieb vykonávať rôzne ohrozujúce aktivity

Zariadenia infikované hrozbami malvéru typu backdoor predstavujú značné nebezpečenstvo vrátane:

• Neoprávnený prístup: Zadné vrátka poskytujú kyberzločincom tajný vstupný bod do zariadenia. Po infikovaní môžu útočníci získať neoprávnený prístup a ohroziť citlivé údaje, osobné informácie alebo duševné vlastníctvo.
• Krádež údajov a špionáž: Zadné vrátka možno využiť na preniknutie dôverných informácií, ako sú finančné záznamy, osobné údaje alebo obchodné stratégie. Tieto zhromaždené údaje môžu byť použité na krádež identity, firemnú špionáž alebo predaj na temnom webe.
• Trvalá kontrola: Zadné vrátka často umožňujú trvalú kontrolu nad napadnutým zariadením. Útočníci môžu na diaľku manipulovať so zariadením, vykonávať nebezpečné príkazy a udržiavať prístup po dlhú dobu bez vedomia používateľa.
• Propagácia a bočný pohyb: Zadné vrátka môžu uľahčiť šírenie malvéru v rámci siete tým, že umožnia útočníkom pohybovať sa laterálne z jedného zariadenia na druhé. To môže viesť k rozsiahlym infekciám, čo sťažuje organizáciám zvládnutie a odstránenie hrozby.
• Nasadenie ransomvéru: Zadné vrátka môžu slúžiť ako vstupný bod pre nasadenie súborov šifrujúcich ransomvér na infikovanom zariadení alebo sieti. Zločinci potom požadujú výkupné za dešifrovací kľúč, čím narušia bežné operácie a spôsobia finančné straty.
• Ohrozená integrita systému: Zadné vrátka môžu narušiť integritu systému úpravou alebo zakázaním bezpečnostných funkcií. Mohlo by to viesť k celému radu problémov, vrátane neschopnosti detekovať alebo odstrániť malvér, čím by bolo zariadenie zraniteľné voči ďalšiemu zneužitiu.
• Útoky na dodávateľský reťazec: Backdoory môžu byť vložené do softvéru alebo firmvéru počas procesu dodávateľského reťazca. Zariadenia s predinštalovanými zadnými vrátkami možno distribuovať nič netušiacim používateľom, čo predstavuje významnú hrozbu pre jednotlivcov, firmy a dokonca aj kritickú infraštruktúru.

Na zmiernenie týchto nebezpečenstiev je nevyhnutné, aby jednotlivci a organizácie zaviedli robustné opatrenia v oblasti kybernetickej bezpečnosti, vrátane pravidelných aktualizácií softvéru, riešení proti malvéru, monitorovania siete a vzdelávania používateľov o rozpoznaní potenciálnych hrozieb a predchádzaní im.