TinyTurla-NG แบ็คดอร์

ผู้แสดงภัยคุกคาม Turla ซึ่งเชื่อกันว่าได้รับการสนับสนุนจากรัสเซีย ถูกสังเกตเห็นว่าใช้ประตูหลังตัวใหม่ชื่อ TinyTurla-NG ในแคมเปญที่กินเวลาสามเดือน ปฏิบัติการโจมตีมุ่งเป้าหมายไปที่องค์กรพัฒนาเอกชนในโปแลนด์ในช่วงปลายปี 2566 TinyTurla-NG ทำหน้าที่เป็นแบ็คดอร์ขนาดกะทัดรัด "ทางเลือกสุดท้าย" เช่นเดียวกับ TinyTurla รุ่นก่อน มีการปรับใช้เชิงกลยุทธ์เพื่อให้คงอยู่เฉยๆ จนกว่ากลไกการเข้าถึงหรือประตูหลังอื่นๆ ที่ไม่ได้รับอนุญาตในระบบที่ถูกบุกรุกจะล้มเหลวหรือถูกค้นพบ

TinyTurla-NG ได้รับการตั้งชื่อตามความคล้ายคลึงกับ TinyTurla เป็นอีกหนึ่งอุปกรณ์ที่กลุ่มผู้ต่อต้านใช้ในการบุกรุกที่มุ่งเป้าไปที่สหรัฐอเมริกา เยอรมนี และอัฟกานิสถาน นับตั้งแต่อย่างน้อยปี 2020 บริษัทรักษาความปลอดภัยทางไซเบอร์ได้บันทึก TinyTurla ในเดือนกันยายน 2021

Turla APT Group ประนีประนอมเป้าหมายที่สอดคล้องกับผลประโยชน์ของรัสเซีย

ผู้ก่อภัยคุกคามที่รู้จักกันในชื่อผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ติดตาม Turla โดยใช้นามแฝงต่างๆ รวมถึง Iron Hunter, Pensive Ursa, Secret Blizzard (เดิมชื่อ Krypton ), Snake , Uroburos และ Venomous Bear กลุ่มแฮกเกอร์กลุ่มนี้มีความเกี่ยวข้องกับรัฐรัสเซียและเชื่อมโยงกับ Federal Security Service (FSB)

ในช่วงหลายเดือนที่ผ่านมา Turla ได้กำหนดเป้าหมายไปที่ภาคการป้องกันในยูเครนและยุโรปตะวันออกโดยเฉพาะ โดยใช้แบ็คดอร์ที่ใช้ .NET ใหม่ที่ชื่อว่า DeliveryCheck ในขณะเดียวกัน ผู้ก่อภัยคุกคามได้อัปเกรด Kazuar ซึ่งเป็นอุปกรณ์ปลูกถ่ายระยะที่สองที่มีมายาวนาน ซึ่งมีการใช้งานมาตั้งแต่ปี 2017 เป็นอย่างน้อย

แคมเปญล่าสุดที่มี TinyTurla-NG ติดตามย้อนกลับไปในช่วงปลายปี 2566 และมีรายงานว่าดำเนินต่อไปจนถึงวันที่ 27 มกราคม 2567 อย่างไรก็ตาม มีข้อสงสัยว่ากิจกรรมที่เป็นอันตรายอาจเริ่มตั้งแต่ต้นเดือนพฤศจิกายน 2566 ตามวันที่รวบรวมมัลแวร์ที่เกี่ยวข้อง .

TinyTurla-NG ใช้สำหรับการส่งมัลแวร์ Infostealer

วิธีการกระจายของประตูหลัง TinyTurla-NG ยังคงไม่ทราบในปัจจุบัน อย่างไรก็ตาม มีการสังเกตพบว่ามีการใช้เว็บไซต์ที่ใช้ WordPress ที่ถูกบุกรุกเป็นจุดปลายทาง Command-and-Control (C2) เว็บไซต์เหล่านี้ทำหน้าที่ดึงข้อมูลและดำเนินการตามคำแนะนำ ทำให้ TinyTurla-NG สามารถดำเนินการคำสั่งผ่าน PowerShell หรือ Command Prompt (cmd.exe) และอำนวยความสะดวกในกิจกรรมการดาวน์โหลด/อัพโหลดไฟล์

นอกจากนี้ TinyTurla-NG ยังทำหน้าที่เป็นช่องทางในการส่งมอบ TurlaPower-NG ซึ่งประกอบด้วยสคริปต์ PowerShell ที่ออกแบบมาเพื่อดึงข้อมูลสำคัญที่ใช้เพื่อรักษาความปลอดภัยฐานข้อมูลรหัสผ่านของซอฟต์แวร์การจัดการรหัสผ่านยอดนิยม โดยทั่วไปข้อมูลที่กรองออกมาจะถูกบรรจุลงในไฟล์ ZIP

แคมเปญนี้แสดงการกำหนดเป้าหมายในระดับสูง โดยมุ่งเน้นไปที่องค์กรจำนวนหนึ่ง โดยขณะนี้การยืนยันจำกัดเฉพาะองค์กรที่อยู่ในโปแลนด์เท่านั้น แคมเปญนี้มีลักษณะพิเศษด้วยการแบ่งส่วนที่แข็งแกร่ง โดยมีเว็บไซต์ที่ถูกบุกรุกเพียงไม่กี่แห่งที่ทำหน้าที่เป็น C2 โต้ตอบกับตัวอย่างในจำนวนจำกัดเท่านั้น โครงสร้างนี้ทำให้การเปลี่ยนจากตัวอย่าง/C2 หนึ่งไปยังตัวอย่างอื่นๆ ภายในโครงสร้างพื้นฐานเดียวกันเป็นเรื่องที่ท้าทาย

แบ็คดอร์อนุญาตให้ผู้คุกคามสามารถทำกิจกรรมคุกคามต่างๆ ได้

อุปกรณ์ที่ติดมัลแวร์แบ็คดอร์ก่อให้เกิดอันตรายที่สำคัญ ได้แก่:

• การเข้าถึงโดยไม่ได้รับอนุญาต: แบ็คดอร์เป็นช่องทางเข้าที่ซ่อนตัวสำหรับอาชญากรไซเบอร์ในอุปกรณ์ เมื่อติดไวรัส ผู้โจมตีสามารถเข้าถึงข้อมูลละเอียดอ่อน ข้อมูลส่วนบุคคล หรือทรัพย์สินทางปัญญาโดยไม่ได้รับอนุญาต
• การโจรกรรมข้อมูลและการจารกรรม: สามารถใช้แบ็คดอร์เพื่อกรองข้อมูลที่เป็นความลับ เช่น บันทึกทางการเงิน รายละเอียดส่วนบุคคล หรือกลยุทธ์ทางธุรกิจ ข้อมูลที่รวบรวมนี้อาจนำไปใช้สำหรับการขโมยข้อมูลประจำตัว การจารกรรมขององค์กร หรือการขายบน Dark Web
• การควบคุมอย่างต่อเนื่อง: แบ็คดอร์มักจะเปิดใช้งานการควบคุมอุปกรณ์ที่ถูกบุกรุกอย่างต่อเนื่อง ผู้โจมตีสามารถจัดการอุปกรณ์จากระยะไกล ดำเนินการคำสั่งที่ไม่ปลอดภัย และรักษาการเข้าถึงเป็นระยะเวลานานโดยที่ผู้ใช้ไม่ทราบ
• การแพร่กระจายและการเคลื่อนไหวด้านข้าง: แบ็คดอร์อาจอำนวยความสะดวกในการแพร่กระจายของมัลแวร์ภายในเครือข่ายโดยการอนุญาตให้ผู้โจมตีย้ายจากอุปกรณ์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง สิ่งนี้สามารถนำไปสู่การติดเชื้อในวงกว้าง ทำให้เกิดความท้าทายสำหรับองค์กรในการควบคุมและกำจัดภัยคุกคาม
• การปรับใช้แรนซัมแวร์: แบ็คดอร์สามารถใช้เป็นจุดเริ่มต้นสำหรับการปรับใช้ไฟล์เข้ารหัสแรนซัมแวร์บนอุปกรณ์หรือเครือข่ายที่ติดไวรัส อาชญากรจึงเรียกร้องค่าไถ่สำหรับคีย์ถอดรหัส ขัดขวางการทำงานปกติและก่อให้เกิดความสูญเสียทางการเงิน
• ความสมบูรณ์ของระบบที่ถูกบุกรุก: แบ็คดอร์อาจประนีประนอมความสมบูรณ์ของระบบโดยการแก้ไขหรือปิดใช้งานคุณลักษณะด้านความปลอดภัย สิ่งนี้อาจนำไปสู่ปัญหาหลายประการ รวมถึงการไม่สามารถตรวจจับหรือลบมัลแวร์ ส่งผลให้อุปกรณ์เสี่ยงต่อการถูกโจมตีเพิ่มเติม
• การโจมตีในห่วงโซ่อุปทาน: แบ็คดอร์สามารถถูกแทรกเข้าไปในซอฟต์แวร์หรือเฟิร์มแวร์ได้ในระหว่างกระบวนการห่วงโซ่อุปทาน อุปกรณ์ที่มีแบ็คดอร์ที่ติดตั้งไว้ล่วงหน้าสามารถแจกจ่ายให้กับผู้ใช้ที่ไม่สงสัยได้ ซึ่งก่อให้เกิดภัยคุกคามที่สำคัญต่อบุคคล ธุรกิจ และแม้แต่โครงสร้างพื้นฐานที่สำคัญ

เพื่อบรรเทาอันตรายเหล่านี้ เป็นเรื่องพื้นฐานสำหรับบุคคลและองค์กรในการตั้งค่ามาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการอัปเดตซอฟต์แวร์เป็นประจำ โซลูชันป้องกันมัลแวร์ การตรวจสอบเครือข่าย และการให้ความรู้แก่ผู้ใช้เกี่ยวกับการรับรู้และหลีกเลี่ยงภัยคุกคามที่อาจเกิดขึ้น