Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Backdoors TinyTurla-NG Backdoor

TinyTurla-NG Backdoor

Nga MezoBackdoors, Advanced Persistent Threat (APT), Stealers
Përkthe në:
Shqip

Aktori i kërcënimit Turla, që besohet se mbështetet nga Rusia, është vërejtur duke përdorur një prapavijë të re të quajtur TinyTurla-NG në një fushatë që zgjat tre muaj. Operacioni i sulmit synoi në mënyrë specifike organizatat joqeveritare në Poloni në fund të vitit 2023. Ngjashëm me paraardhësin e tij, TinyTurla, TinyTurla-NG funksionon si një derë e pasme kompakte e 'zgjidhjes së fundit'. Ai është vendosur në mënyrë strategjike për të qëndruar në gjendje të fjetur derisa të gjitha mekanizmat e tjerë të aksesit të paautorizuar ose mekanizmat e dyerve të pasme në sistemet e komprometuara ose të dështojnë ose të jenë zbuluar.

I emëruar për ngjashmërinë e tij me TinyTurla, TinyTurla-NG është një tjetër implant i përdorur nga kolektivi kundërshtar në ndërhyrjet që synojnë SHBA-në, Gjermaninë dhe Afganistanin që të paktën që nga viti 2020. Kompania e sigurisë kibernetike fillimisht dokumentoi TinyTurla në shtator 2021.

Grupi Turla APT ka kompromentuar objektiva në linjë me interesat e Rusisë

Aktorët e kërcënimit të njohur si specialistë të sigurisë kibernetike ndjekin Turlën nën pseudonime të ndryshme, duke përfshirë Iron Hunter, Pensive Ursa, Secret Blizzard (ish Krypton ), Snake , Uroburos dhe Venomous Bear. Ky grup hakerash është i lidhur me shtetin rus dhe i lidhur me Shërbimin e Sigurisë Federale (FSB).

Në muajt e fundit, Turla ka synuar në mënyrë specifike sektorin e mbrojtjes në Ukrainë dhe Evropën Lindore, duke përdorur një backdoor të ri me bazë .NET të quajtur DeliveryCheck. Njëkohësisht, aktori i kërcënimit ka përmirësuar implantin e tij të gjatë të fazës së dytë, Kazuar , i cili ka qenë në përdorim të paktën që nga viti 2017.

Fushata më e fundit që paraqet TinyTurla-NG fillon në fund të vitit 2023 dhe thuhet se ka vazhduar deri më 27 janar 2024. Megjithatë, ka dyshime se aktiviteti keqdashës mund të ketë filluar që në nëntor 2023 bazuar në datat e përpilimit të malware-it të lidhur .

TinyTurla-NG përdoret për shpërndarjen e malware Infostealer

Metoda e shpërndarjes së derës së pasme TinyTurla-NG mbetet e panjohur për momentin. Sidoqoftë, është vërejtur duke përdorur faqet e internetit të komprometuara të bazuara në WordPress si pika përfundimtare Command-and-Control (C2). Këto faqe interneti shërbejnë për të tërhequr dhe ekzekutuar udhëzime, duke lejuar TinyTurla-NG të ekzekutojë komanda përmes PowerShell ose Command Prompt (cmd.exe) dhe të lehtësojë aktivitetet e shkarkimit/ngarkimit të skedarëve.

Për më tepër, TinyTurla-NG shërben si një kanal për dërgimin e TurlaPower-NG, i cili përbëhet nga skriptet PowerShell të krijuara për të nxjerrë informacione thelbësore të përdorura për të siguruar bazat e të dhënave të fjalëkalimeve të softuerit popullor të menaxhimit të fjalëkalimeve. Të dhënat e eksfiltruara zakonisht paketohen në një arkiv ZIP.

Kjo fushatë shfaq një nivel të lartë shënjestrimi, duke u fokusuar në një numër të përzgjedhur organizatash, me konfirmim të kufizuar aktualisht në ato me bazë në Poloni. Fushata karakterizohet nga një ndarje e fortë, ku disa faqe interneti të komprometuara që shërbejnë si C2 ndërveprojnë vetëm me një numër të kufizuar mostrash. Kjo strukturë e bën të vështirë kalimin nga një mostër/C2 tek të tjerët brenda së njëjtës infrastrukturë.

Backdoors lejojnë aktorët e kërcënimit të kryejnë aktivitete të ndryshme kërcënuese

Pajisjet e infektuara me kërcënime malware të pasme paraqesin rreziqe të konsiderueshme, duke përfshirë:

  • Qasje e paautorizuar: Dyert e pasme ofrojnë një pikë hyrje të fshehtë për kriminelët kibernetikë në një pajisje. Pasi të infektohen, sulmuesit mund të fitojnë akses të paautorizuar, duke kompromentuar të dhënat e ndjeshme, informacionin personal ose pronën intelektuale.
  • Vjedhja dhe spiunazhi i të dhënave: Backdoors mund të shfrytëzohen për të shfrytëzuar informacione konfidenciale, të tilla si të dhënat financiare, detajet personale ose strategjitë e biznesit. Këto të dhëna të mbledhura mund të përdoren për vjedhje identiteti, spiunazh korporativ ose shitur në Dark Web.
  • Kontrolli i vazhdueshëm: Dyert e pasme shpesh mundësojnë kontroll të vazhdueshëm mbi një pajisje të komprometuar. Sulmuesit mund të manipulojnë në distancë pajisjen, të ekzekutojnë komanda të pasigurta dhe të ruajnë aksesin për periudha të gjata pa dijeninë e përdoruesit.
  • Përhapja dhe lëvizja anësore: Backdoors mund të lehtësojnë përhapjen e malware brenda një rrjeti duke i lejuar sulmuesit të lëvizin anash nga një pajisje në tjetrën. Kjo mund të çojë në infeksione të përhapura, duke e bërë sfiduese për organizatat kontrollin dhe zhdukjen e kërcënimit.
  • Vendosja e Ransomware: Backdoors mund të shërbejnë si një pikë hyrjeje për vendosjen e skedarëve të enkriptimit të ransomware në pajisjen ose rrjetin e infektuar. Kriminelët më pas kërkojnë një shpërblim për çelësin e deshifrimit, duke ndërprerë funksionimin normal dhe duke shkaktuar humbje financiare.
  • Integriteti i komprometuar i sistemit: Backdoors mund të komprometojnë integritetin e një sistemi duke modifikuar ose çaktivizuar veçoritë e sigurisë. Kjo mund të çojë në një sërë problemesh, duke përfshirë pamundësinë për të zbuluar ose hequr malware, duke e lënë pajisjen të prekshme ndaj shfrytëzimit të mëtejshëm.
  • Sulmet e zinxhirit të furnizimit: Dyert e pasme mund të injektohen në softuer ose firmware gjatë procesit të zinxhirit të furnizimit. Pajisjet me dyer të pasme të para-instaluara mund t'u shpërndahen përdoruesve që nuk dyshojnë, duke paraqitur një kërcënim të konsiderueshëm për individët, bizneset dhe madje edhe infrastrukturën kritike.

Për të zbutur këto rreziqe, është thelbësore që individët dhe organizatat të vendosin masa të forta të sigurisë kibernetike, duke përfshirë përditësimet e rregullta të softuerit, zgjidhjet kundër malware, monitorimin e rrjetit dhe edukimin e përdoruesve për njohjen dhe shmangien e kërcënimeve të mundshme.

 

Në trend

Më e shikuara

Po ngarkohet...