Multi-License Discount Quote
Тхреат Датабасе Backdoors ТиниТурла-НГ Бацкдоор

ТиниТурла-НГ Бацкдоор

До Mezo. у Backdoors, Advanced Persistent Threat (APT), Stealers
Преведи на:
Српски

Актер претњи Турла, за кога се верује да га подржава Русија, примећен је како користи нови бацкдоор под називом ТиниТурла-НГ у кампањи која траје три месеца. Операција напада посебно је била усмерена на невладине организације у Пољској крајем 2023. Слично свом претходнику, ТиниТурла, ТиниТурла-НГ функционише као компактно „посљедње уточиште“ бацкдоор. Стратешки је распоређен да остане у стању мировања све док сви други неовлашћени приступи или бацкдоор механизми на компромитованим системима не покваре или не буду откривени.

Назван по сличности са ТиниТурла, ТиниТурла-НГ је још један имплант који је непријатељски колектив користио у нападима на САД, Немачку и Авганистан од најмање 2020. Компанија за сајбер безбедност је првобитно документовала ТиниТурла у септембру 2021.

Група Турла АПТ је радила на циљевима усклађеним са интересима Русије

Актери претњи познати као стручњаци за сајбер безбедност прате Турлу под различитим псеудонима, укључујући Ирон Хунтер, Пенсиве Урса, Сецрет Близзард (раније Криптон ), Снаке , Уробурос и Веномоус Беар. Ова хакерска група је повезана са руском државом и повезана је са њеном Федералном службом безбедности (ФСБ).

Последњих месеци, Турла је посебно циљала на сектор одбране у Украјини и источној Европи, користећи нови бацкдоор заснован на .НЕТ-у под називом ДеливериЦхецк. Истовремено, актер претње је унапредио свој дугогодишњи имплантат друге фазе, Казуар , који је у употреби од најмање 2017.

Најновија кампања са ТиниТурла-НГ води до краја 2023. и наводно је настављена до 27. јануара 2024. Међутим, постоје сумње да је злонамерна активност могла да почне већ у новембру 2023. на основу датума компилације повезаног малвера .

ТиниТурла-НГ се користи за испоруку злонамерног софтвера Инфостеалер

Метод дистрибуције ТиниТурла-НГ бацкдоор-а је тренутно непознат. Међутим, примећено је коришћење компромитованих веб локација заснованих на ВордПресс-у као крајњих тачака за команду и контролу (Ц2). Ове веб странице служе за преузимање и извршавање инструкција, омогућавајући ТиниТурла-НГ да извршава команде преко ПоверСхелл-а или командне линије (цмд.еке) и олакшава активности преузимања/отпремања датотека.

Поред тога, ТиниТурла-НГ служи као канал за испоруку ТурлаПовер-НГ, који се састоји од ПоверСхелл скрипти дизајнираних да ексфилтрирају кључне информације које се користе за обезбеђење база података лозинки популарног софтвера за управљање лозинкама. Ексфилтрирани подаци се обично пакују у ЗИП архиву.

Ова кампања показује висок ниво циљања, фокусирајући се на одабрани број организација, са потврдом која је тренутно ограничена на оне са седиштем у Пољској. Кампању карактерише јака подела, где неколико компромитованих веб локација које служе као Ц2 комуницирају са само ограниченим бројем узорака. Ова структура чини изазовом окретање са једног узорка/Ц2 на други у оквиру исте инфраструктуре.

Бацкдоорс омогућавају актерима претњи да обављају различите претеће активности

Уређаји заражени претњама злонамерног софтвера у позадини представљају значајне опасности, укључујући:

  • Неовлашћени приступ: Позадинска врата пружају скривену улазну тачку за сајбер криминалце у уређај. Једном заражени, нападачи могу добити неовлашћени приступ, компромитујући осетљиве податке, личне податке или интелектуалну својину.
  • Крађа података и шпијунажа: Бацкдоорс се могу искористити за ексфилтрирање поверљивих информација, као што су финансијски подаци, лични подаци или пословне стратегије. Ови прикупљени подаци могу се користити за крађу идентитета, корпоративну шпијунажу или продати на Дарк Веб-у.
  • Упорна контрола: Бацкдоорс често омогућавају упорну контролу над компромитованим уређајем. Нападачи могу даљински да манипулишу уређајем, извршавају небезбедне команде и одржавају приступ дужи период без знања корисника.
  • Ширење и бочно кретање: Бацкдоорс могу олакшати ширење злонамерног софтвера унутар мреже дозвољавајући нападачима да се крећу бочно са једног уређаја на други. Ово може довести до широко распрострањених инфекција, што представља изазов за организације да обуздају и искорене претњу.
  • Примена рансомваре-а: Бацкдоорс могу послужити као улазна тачка за примену датотека за шифровање рансомваре-а на зараженом уређају или мрежи. Криминалци тада захтевају откуп за кључ за дешифровање, ометајући нормалне операције и проузрокујући финансијске губитке.
  • Компромитован интегритет система: Бацкдоорс могу угрозити интегритет система модификовањем или онемогућавањем безбедносних функција. Ово може довести до низа проблема, укључујући немогућност откривања или уклањања злонамерног софтвера, остављајући уређај рањивим на даљу експлоатацију.
  • Напади на ланац снабдевања: Бацкдоорс се могу убацити у софтвер или фирмвер током процеса ланца снабдевања. Уређаји са унапред инсталираним бацкдоорима могу се дистрибуирати корисницима који ништа не сумњају, представљајући значајну претњу појединцима, предузећима, па чак и критичној инфраструктури.

Да би ублажили ове опасности, од суштинског је значаја за појединце и организације да успоставе робусне мере сајбер безбедности, укључујући редовна ажурирања софтвера, решења за заштиту од малвера, надгледање мреже и едукацију корисника о препознавању и избегавању потенцијалних претњи.

 

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
36,927
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...