TinyTurla-NG Backdoor

Ang Turla threat actor, na pinaniniwalaang suportado ng Russia, ay naobserbahang gumagamit ng bagong backdoor na pinangalanang TinyTurla-NG sa isang kampanyang sumasaklaw sa tatlong buwan. Ang operasyon ng pag-atake ay partikular na naka-target sa mga non-government na organisasyon sa Poland sa pagtatapos ng 2023. Katulad ng hinalinhan nito, ang TinyTurla, TinyTurla-NG ay gumaganap bilang isang compact na 'last resort' na backdoor. Ito ay madiskarteng itinalaga upang manatiling tulog hanggang sa ang lahat ng iba pang hindi awtorisadong pag-access o backdoor na mekanismo sa mga nakompromisong system ay nabigo o natuklasan.

Pinangalanan dahil sa pagkakahawig nito sa TinyTurla, ang TinyTurla-NG ay isa pang implant na ginamit ng adversarial collective sa mga panghihimasok na nagta-target sa US, Germany, at Afghanistan mula pa noong 2020. Ang kumpanya ng cybersecurity ay unang nagdokumento ng TinyTurla noong Setyembre 2021.

Ang Turla APT Group ay Nakipagkompromiso sa Mga Target na Naaayon sa Mga Interes ng Russia

Ang mga aktor ng pagbabanta na kilala bilang mga cybersecurity specialist ay sumusubaybay sa Turla sa ilalim ng iba't ibang alyas, kabilang ang Iron Hunter, Pensive Ursa, Secret Blizzard (dating Krypton ), Snake , Uroburos at Venomous Bear. Ang pangkat ng hacker na ito ay kaakibat ng estado ng Russia at naka-link sa Federal Security Service (FSB) nito.

Sa nakalipas na mga buwan, partikular na tinutukan ng Turla ang sektor ng depensa sa Ukraine at Silangang Europa, na gumagamit ng bagong backdoor na nakabatay sa .NET na pinangalanang DeliveryCheck. Kasabay nito, in-upgrade ng threat actor ang matagal nang second-stage implant nito, ang Kazuar , na ginagamit na simula noong 2017 man lang.

Ang pinakahuling campaign na nagtatampok ng TinyTurla-NG ay sumusubaybay pabalik sa katapusan ng 2023 at iniulat na nagpatuloy hanggang Enero 27, 2024. Gayunpaman, may mga hinala na ang nakakahamak na aktibidad ay maaaring nagsimula noong Nobyembre 2023 batay sa mga petsa ng compilation ng nauugnay na malware .

Ang TinyTurla-NG ay Ginagamit para sa Paghahatid ng Infostealer Malware

Ang paraan ng pamamahagi ng backdoor ng TinyTurla-NG ay nananatiling hindi alam sa kasalukuyan. Gayunpaman, naobserbahan ang paggamit ng mga nakompromisong website na nakabase sa WordPress bilang mga endpoint ng Command-and-Control (C2). Ang mga website na ito ay nagsisilbing kumuha at magsagawa ng mga tagubilin, na nagpapahintulot sa TinyTurla-NG na magsagawa ng mga utos sa pamamagitan ng PowerShell o Command Prompt (cmd.exe) at mapadali ang mga aktibidad sa pag-download/pag-upload ng file.

Bukod pa rito, ang TinyTurla-NG ay nagsisilbing conduit para sa paghahatid ng TurlaPower-NG, na binubuo ng mga PowerShell script na idinisenyo upang i-exfiltrate ang mahahalagang impormasyon na ginagamit upang ma-secure ang mga database ng password ng sikat na software sa pamamahala ng password. Ang na-exfiltrated na data ay karaniwang naka-package sa isang ZIP archive.

Ang kampanyang ito ay nagpapakita ng mataas na antas ng pag-target, na tumutuon sa isang piling bilang ng mga organisasyon, na may kumpirmasyon na kasalukuyang limitado sa mga nakabase sa Poland. Ang kampanya ay nailalarawan sa pamamagitan ng malakas na compartmentalization, kung saan ang ilang nakompromisong website na nagsisilbi bilang mga C2 ay nakikipag-ugnayan sa limitadong bilang ng mga sample. Ginagawang mahirap ng istrukturang ito na mag-pivot mula sa isang sample/C2 patungo sa iba sa loob ng parehong imprastraktura.

Pinahihintulutan ng Backdoors ang mga Threat Actor na Magsagawa ng Iba’t Ibang Mga Pagbabantang Aktibidad

Ang mga device na nahawaan ng mga banta sa backdoor na malware ay nagdudulot ng malalaking panganib, kabilang ang:

• Hindi Awtorisadong Pag-access: Nagbibigay ang mga backdoor ng isang patagong entry point para sa mga cybercriminal sa isang device. Kapag nahawahan na, ang mga umaatake ay maaaring makakuha ng hindi awtorisadong pag-access, pagkompromiso sa sensitibong data, personal na impormasyon, o intelektwal na pag-aari.
• Pagnanakaw ng Data at Espionage: Maaaring samantalahin ang mga backdoor upang i-exfiltrate ang kumpidensyal na impormasyon, gaya ng mga rekord sa pananalapi, mga personal na detalye, o mga diskarte sa negosyo. Maaaring gamitin ang nakolektang data na ito para sa pagnanakaw ng pagkakakilanlan, espionage ng kumpanya, o ibenta sa Dark Web.
• Persistent Control: Madalas na pinapagana ng backdoors ang patuloy na kontrol sa isang nakompromisong device. Maaaring malayuang manipulahin ng mga attacker ang device, magsagawa ng mga hindi ligtas na command, at mapanatili ang access sa mahabang panahon nang hindi nalalaman ng user.
• Pagpapalaganap at Lateral Movement: Maaaring mapadali ng backdoors ang pagkalat ng malware sa loob ng isang network sa pamamagitan ng pagpayag sa mga attacker na lumipat sa gilid mula sa isang device patungo sa isa pa. Ito ay maaaring humantong sa malawakang mga impeksyon, na ginagawang hamon para sa mga organisasyon na pigilin at puksain ang banta.
• Ransomware Deployment: Ang mga backdoor ay maaaring magsilbi bilang isang entry point para sa pag-deploy ng ransomware encrypting file sa nahawaang device o network. Ang mga kriminal ay humihingi ng ransom para sa decryption key, na nakakagambala sa mga normal na operasyon at nagdudulot ng mga pagkalugi sa pananalapi.
• Nakompromiso ang Integridad ng System: Maaaring ikompromiso ng mga backdoor ang integridad ng isang system sa pamamagitan ng pagbabago o hindi pagpapagana ng mga feature ng seguridad. Ito ay maaaring humantong sa isang hanay ng mga isyu, kabilang ang kawalan ng kakayahan na matukoy o maalis ang malware, na nag-iiwan sa device na masugatan sa higit pang pagsasamantala.
• Mga Pag-atake sa Supply Chain: Maaaring ipasok ang mga backdoor sa software o firmware sa panahon ng proseso ng supply chain. Ang mga device na may paunang naka-install na mga backdoor ay maaaring ipamahagi sa mga hindi pinaghihinalaang user, na nagdudulot ng malaking banta sa mga indibidwal, negosyo, at maging sa mga kritikal na imprastraktura.

Upang mabawasan ang mga panganib na ito, napakahalaga para sa mga indibidwal at organisasyon na mag-set up ng matatag na mga hakbang sa cybersecurity, kabilang ang mga regular na pag-update ng software, mga solusyon sa anti-malware, pagsubaybay sa network, at edukasyon ng user sa pagkilala at pag-iwas sa mga potensyal na banta.