Multi-License Discount Quote
Podjetje o grožnjah Backdoors Zadnja vrata TinyTurla-NG

Zadnja vrata TinyTurla-NG

Do leta Mezo leta Backdoors, Advanced Persistent Threat (APT), Stealers
Prevedi v:
Slovenščina

Udeleženec grožnje Turla, ki naj bi ga podpirala Rusija, je bil opažen, da uporablja nova stranska vrata, imenovana TinyTurla-NG, v trimesečni kampanji. Operacija napada je bila proti koncu leta 2023 posebej usmerjena na nevladne organizacije na Poljskem. Podobno kot predhodnik TinyTurla tudi TinyTurla-NG deluje kot kompaktna stranska vrata v zadnji sili. Strateško je razporejen tako, da ostane v stanju mirovanja, dokler vsi drugi nepooblaščeni dostopi ali stranski mehanizmi v ogroženih sistemih ne odpovejo ali so odkriti.

TinyTurla-NG, imenovan zaradi podobnosti s TinyTurla, je še en vsadek, ki ga nasprotni kolektiv uporablja pri vdorih, usmerjenih v ZDA, Nemčijo in Afganistan, vsaj od leta 2020. Podjetje za kibernetsko varnost je prvotno dokumentiralo TinyTurla septembra 2021.

Skupina Turla APT je sestavljala cilje v skladu z interesi Rusije

Akterji groženj, znani kot strokovnjaki za kibernetsko varnost, sledijo Turli pod različnimi vzdevki, vključno z Iron Hunter, Pensive Ursa, Secret Blizzard (prej Krypton ), Snake , Uroburos in Venomous Bear. Ta hekerska skupina je povezana z rusko državo in njeno zvezno varnostno službo (FSB).

V zadnjih mesecih se je Turla posebej osredotočila na obrambni sektor v Ukrajini in vzhodni Evropi, pri čemer je uporabila nova stranska vrata, ki temeljijo na .NET, imenovana DeliveryCheck. Hkrati je akter grožnje nadgradil svoj dolgoletni vsadek druge stopnje, Kazuar , ki je v uporabi vsaj od leta 2017.

Najnovejša kampanja, ki vključuje TinyTurla-NG, sega v konec leta 2023 in naj bi se nadaljevala do 27. januarja 2024. Vendar pa obstajajo sumi, da se je zlonamerna dejavnost lahko začela že novembra 2023 glede na datume kompilacije povezane zlonamerne programske opreme. .

TinyTurla-NG se uporablja za dostavo zlonamerne programske opreme Infostealer

Metoda distribucije stranskih vrat TinyTurla-NG trenutno ostaja neznana. Vendar pa je bilo opaženo, da uporablja ogrožena spletna mesta, ki temeljijo na WordPressu, kot končne točke ukaza in nadzora (C2). Ta spletna mesta služijo za pridobivanje in izvajanje navodil, kar omogoča TinyTurla-NG izvajanje ukazov prek lupine PowerShell ali ukaznega poziva (cmd.exe) in olajša dejavnosti prenosa/nalaganja datotek.

Poleg tega TinyTurla-NG služi kot kanal za dostavo TurlaPower-NG, ki je sestavljen iz skriptov PowerShell, zasnovanih za izločanje ključnih informacij, ki se uporabljajo za zaščito baz podatkov gesel priljubljene programske opreme za upravljanje gesel. Eksfiltrirani podatki so običajno zapakirani v arhiv ZIP.

Ta kampanja kaže visoko raven ciljanja, osredotoča se na izbrano število organizacij, pri čemer je potrditev trenutno omejena na tiste s sedežem na Poljskem. Za kampanjo je značilna močna razdeljenost, kjer nekaj ogroženih spletnih mest, ki služijo kot C2, komunicirajo z le omejenim številom vzorcev. Zaradi te strukture je težko preiti z enega vzorca/C2 na druge znotraj iste infrastrukture.

Backdoors omogočajo akterjem groženj izvajanje različnih nevarnih dejavnosti

Naprave, okužene z grožnjami zakulisne zlonamerne programske opreme, predstavljajo velike nevarnosti, vključno z:

  • Nepooblaščen dostop: Zakulisna vrata kiberkriminalcem omogočajo prikrito vstopno točko v napravo. Ko so okuženi, lahko napadalci pridobijo nepooblaščen dostop in ogrožajo občutljive podatke, osebne informacije ali intelektualno lastnino.
  • Kraja podatkov in vohunjenje: stranska vrata je mogoče izkoristiti za izločanje zaupnih informacij, kot so finančni zapisi, osebni podatki ali poslovne strategije. Ti zbrani podatki se lahko uporabijo za krajo identitete, korporativno vohunjenje ali prodajo na temnem spletu.
  • Trajni nadzor: Zakulisna vrata pogosto omogočajo trajen nadzor nad ogroženo napravo. Napadalci lahko na daljavo manipulirajo z napravo, izvajajo nevarne ukaze in ohranijo dostop dlje časa brez vednosti uporabnika.
  • Širjenje in bočno premikanje: zakulisna vrata lahko olajšajo širjenje zlonamerne programske opreme v omrežju, tako da napadalcem omogočijo bočno premikanje z ene naprave na drugo. To lahko privede do razširjenih okužb, zaradi česar je za organizacije izziv zajeziti in izkoreniniti grožnjo.
  • Namestitev izsiljevalske programske opreme: Backdoors lahko služijo kot vstopna točka za namestitev šifriranih datotek z izsiljevalsko programsko opremo v okuženi napravi ali omrežju. Kriminalci nato zahtevajo odkupnino za ključ za dešifriranje, s čimer motijo normalno delovanje in povzročijo finančne izgube.
  • Ogrožena celovitost sistema: Backdoors lahko ogrozijo celovitost sistema s spreminjanjem ali onemogočanjem varnostnih funkcij. To lahko povzroči vrsto težav, vključno z nezmožnostjo zaznavanja ali odstranitve zlonamerne programske opreme, zaradi česar je naprava ranljiva za nadaljnje izkoriščanje.
  • Napadi na dobavno verigo: stranska vrata se lahko vstavijo v programsko ali vdelano programsko opremo med postopkom dobavne verige. Naprave z vnaprej nameščenimi stranskimi vrati se lahko razdelijo nič hudega slutečim uporabnikom, kar predstavlja veliko grožnjo posameznikom, podjetjem in celo kritični infrastrukturi.

Za ublažitev teh nevarnosti je temeljnega pomena, da posamezniki in organizacije vzpostavijo robustne ukrepe kibernetske varnosti, vključno z rednimi posodobitvami programske opreme, rešitvami proti zlonamerni programski opremi, nadzorom omrežja in izobraževanjem uporabnikov o prepoznavanju in izogibanju morebitnim grožnjam.

 

V trendu

Najbolj gledan

Nalaganje...