Multi-License Discount Quote
Hotdatabas Backdoors TinyTurla-NG Bakdörr

TinyTurla-NG Bakdörr

Med Mezo år Backdoors, Advanced Persistent Threat (APT), Stealers
Översätt till:
Svenska

Turla-hotaktören, som tros stödjas av Ryssland, har observerats använda en ny bakdörr vid namn TinyTurla-NG i en kampanj som sträcker sig över tre månader. Attackoperationen riktade sig specifikt mot icke-statliga organisationer i Polen mot slutet av 2023. I likhet med föregångaren TinyTurla, fungerar TinyTurla-NG som en kompakt "sista utväg" bakdörr. Den är strategiskt utplacerad för att förbli vilande tills all annan obehörig åtkomst eller bakdörrsmekanismer på de komprometterade systemen antingen har misslyckats eller upptäckts.

TinyTurla-NG är uppkallad för sin likhet med TinyTurla och är ett annat implantat som använts av motståndskollektivet i intrång riktade mot USA, Tyskland och Afghanistan sedan åtminstone 2020. Cybersäkerhetsföretaget dokumenterade initialt TinyTurla i september 2021.

Turla APT Group har samordnat mål i linje med Rysslands intressen

Hotaktörerna kända som cybersäkerhetsspecialister spårar Turla under olika alias, inklusive Iron Hunter, Pensive Ursa, Secret Blizzard (tidigare Krypton ), Snake , Uroburos och Venomous Bear. Denna hackergrupp är ansluten till den ryska staten och kopplad till dess federala säkerhetstjänst (FSB).

Under de senaste månaderna har Turla riktat sig specifikt mot försvarssektorn i Ukraina och Östeuropa, med en ny .NET-baserad bakdörr som heter DeliveryCheck. Samtidigt har hotaktören uppgraderat sitt långvariga andrastegsimplantat, Kazuar , som har använts sedan åtminstone 2017.

Den senaste kampanjen med TinyTurla-NG går tillbaka till slutet av 2023 och pågick enligt uppgift till den 27 januari 2024. Det finns dock misstankar om att den skadliga aktiviteten kan ha börjat så tidigt som i november 2023 baserat på sammanställningsdatumen för den associerade skadliga programvaran .

TinyTurla-NG används för leverans av Infostealer Malware

Distributionsmetoden för TinyTurla-NG-bakdörren är för närvarande okänd. Det har dock observerats att använda komprometterade WordPress-baserade webbplatser som Command-and-Control (C2) slutpunkter. Dessa webbplatser tjänar till att hämta och köra instruktioner, vilket gör att TinyTurla-NG kan köra kommandon via PowerShell eller kommandotolken (cmd.exe) och underlätta nedladdning/uppladdning av filer.

Dessutom fungerar TinyTurla-NG som en kanal för att leverera TurlaPower-NG, som består av PowerShell-skript designade för att exfiltrera viktig information som används för att säkra lösenordsdatabaser med populära lösenordshanteringsprogram. Den exfiltrerade datan paketeras vanligtvis i ett ZIP-arkiv.

Den här kampanjen uppvisar en hög nivå av inriktning, med fokus på ett utvalt antal organisationer, med bekräftelse för närvarande begränsad till de som är baserade i Polen. Kampanjen kännetecknas av stark uppdelning, där ett fåtal komprometterade webbplatser som fungerar som C2:er interagerar med endast ett begränsat antal prover. Denna struktur gör det utmanande att pivotera från ett prov/C2 till andra inom samma infrastruktur.

Bakdörrar tillåter hotaktörer att utföra olika hotfulla aktiviteter

Enheter infekterade med bakdörrshot med skadlig programvara utgör betydande faror, inklusive:

  • Obehörig åtkomst: Bakdörrar ger en smygande ingångspunkt för cyberbrottslingar till en enhet. När angripare väl är infekterade kan de få obehörig åtkomst, äventyra känslig data, personlig information eller immateriell egendom.
  • Datastöld och spionage: Bakdörrar kan utnyttjas för att exfiltrera konfidentiell information, såsom ekonomiska uppgifter, personliga uppgifter eller affärsstrategier. Dessa insamlade uppgifter kan användas för identitetsstöld, företagsspionage eller säljas på Dark Web.
  • Beständig kontroll: Bakdörrar möjliggör ofta beständig kontroll över en komprometterad enhet. Angripare kan fjärrmanipulera enheten, utföra osäkra kommandon och behålla åtkomst under längre perioder utan användarens vetskap.
  • Spridning och lateral rörelse: Bakdörrar kan underlätta spridningen av skadlig programvara inom ett nätverk genom att tillåta angripare att flytta i sidled från en enhet till en annan. Detta kan leda till utbredda infektioner, vilket gör det utmanande för organisationer att begränsa och utrota hotet.
  • Utplacering av ransomware: Bakdörrar kan fungera som en ingångspunkt för att distribuera ransomware-krypterande filer på den infekterade enheten eller nätverket. Brottslingarna kräver sedan lösensumma för dekrypteringsnyckeln, vilket stör den normala verksamheten och orsakar ekonomiska förluster.
  • Äventyrad systemintegritet: Bakdörrar kan äventyra systemets integritet genom att modifiera eller inaktivera säkerhetsfunktioner. Detta kan leda till en rad problem, inklusive oförmågan att upptäcka eller ta bort skadlig programvara, vilket gör enheten sårbar för ytterligare exploatering.
  • Supply Chain Attacks: Bakdörrar kan injiceras i programvara eller firmware under supply chain-processen. Enheter med förinstallerade bakdörrar kan distribueras till intet ont anande användare, vilket utgör ett betydande hot mot individer, företag och till och med kritisk infrastruktur.

För att mildra dessa faror är det grundläggande för individer och organisationer att sätta upp robusta cybersäkerhetsåtgärder, inklusive regelbundna programuppdateringar, lösningar mot skadlig programvara, nätverksövervakning och användarutbildning om att känna igen och undvika potentiella hot.

 

Trendigt

Mest sedda

Läser in...