Multi-License Discount Quote
Tehdit Veritabanı Backdoors TinyTurla-NG Arka Kapı

TinyTurla-NG Arka Kapı

Mezo'de Backdoors, Advanced Persistent Threat (APT), Stealers'de
Çevir:
Türkçe

Rusya tarafından desteklendiğine inanılan Turla tehdit aktörünün, üç ay süren bir kampanyada TinyTurla-NG adlı yeni bir arka kapıyı kullandığı gözlemlendi. Saldırı operasyonu, 2023'ün sonlarına doğru özellikle Polonya'daki sivil toplum kuruluşlarını hedef aldı. Önceki TinyTurla'ya benzer şekilde TinyTurla-NG, kompakt bir 'son çare' arka kapısı işlevi görüyor. Güvenliği ihlal edilen sistemlerdeki tüm diğer yetkisiz erişim veya arka kapı mekanizmaları başarısız oluncaya veya keşfedilene kadar hareketsiz kalacak şekilde stratejik olarak konuşlandırılmıştır.

Adını TinyTurla'ya benzerliğinden alan TinyTurla-NG, en az 2020'den bu yana ABD, Almanya ve Afganistan'ı hedef alan saldırılarda düşman kolektif tarafından kullanılan bir başka implanttır. Siber güvenlik şirketi TinyTurla'yı ilk olarak Eylül 2021'de belgeledi.

Turla APT Grubu Rusya’nın Çıkarlarıyla Uyumlu Hedeflerde Uzlaşıyor

Siber güvenlik uzmanları olarak bilinen tehdit aktörleri, Turla'yı Iron Hunter, Pensive Ursa, Secret Blizzard (eski adıyla Krypton ), Snake , Uroburos ve Venomous Bear gibi çeşitli takma adlarla takip ediyor. Bu hacker grubu Rusya devletine bağlı ve Federal Güvenlik Servisi'ne (FSB) bağlı.

Son aylarda Turla, DeliveryCheck adlı yeni bir .NET tabanlı arka kapı kullanarak özellikle Ukrayna ve Doğu Avrupa'daki savunma sektörünü hedef aldı. Eş zamanlı olarak tehdit aktörü, en az 2017'den beri kullanımda olan uzun süredir devam eden ikinci aşama implantı Kazuar'ı da geliştirdi.

TinyTurla-NG'yi içeren en son saldırının izleri 2023'ün sonuna kadar uzanıyor ve bildirildiğine göre 27 Ocak 2024'e kadar devam ediyor. Ancak ilgili kötü amaçlı yazılımın derleme tarihlerine göre kötü amaçlı etkinliğin Kasım 2023 gibi erken bir tarihte başlamış olabileceğine dair şüpheler var. .

TinyTurla-NG, Infostealer Kötü Amaçlı Yazılımlarının Dağıtımı İçin Kullanılıyor

TinyTurla-NG arka kapısının dağıtım yöntemi şu anda bilinmiyor. Ancak, güvenliği ihlal edilmiş WordPress tabanlı web sitelerinin Komuta ve Kontrol (C2) uç noktaları olarak kullanıldığı gözlemlenmiştir. Bu web siteleri talimatları almaya ve yürütmeye hizmet ederek TinyTurla-NG'nin PowerShell veya Komut İstemi (cmd.exe) aracılığıyla komutları yürütmesine ve dosya indirme/yükleme faaliyetlerini kolaylaştırmasına olanak tanır.

Ayrıca TinyTurla-NG, popüler şifre yönetimi yazılımının şifre veritabanlarını güvence altına almak için kullanılan önemli bilgileri sızdırmak üzere tasarlanmış PowerShell komut dosyalarından oluşan TurlaPower-NG'nin dağıtımı için bir kanal görevi görüyor. Dışarıya sızan veriler genellikle bir ZIP arşivinde paketlenir.

Bu kampanya, belirli sayıda kuruluşa odaklanarak yüksek düzeyde hedefleme sergiliyor ve onay şu anda Polonya merkezli kuruluşlarla sınırlı. Kampanya, C2 olarak hizmet veren, güvenliği ihlal edilmiş birkaç web sitesinin yalnızca sınırlı sayıda örnekle etkileşime girdiği güçlü bölümlendirmeyle karakterize ediliyor. Bu yapı, aynı altyapı içindeki bir örnekten/C2'den diğerlerine geçiş yapmayı zorlaştırır.

Arka Kapılar Tehdit Aktörlerinin Çeşitli Tehdit Faaliyetleri Gerçekleştirmesine Olanak Sağlıyor

Arka kapı kötü amaçlı yazılım tehditlerinin bulaştığı cihazlar aşağıdakiler dahil önemli tehlikeler oluşturur:

  • Yetkisiz Erişim: Arka kapılar, siber suçluların bir cihaza gizli bir giriş noktası sağlar. Saldırganlar virüs bulaştığında yetkisiz erişim elde ederek hassas verileri, kişisel bilgileri veya fikri mülkiyet haklarını tehlikeye atabilir.
  • Veri Hırsızlığı ve Casusluk: Mali kayıtlar, kişisel ayrıntılar veya iş stratejileri gibi gizli bilgilerin sızması için arka kapılar kullanılabilir. Toplanan bu veriler kimlik hırsızlığı, kurumsal casusluk için kullanılabilir veya Dark Web'de satılabilir.
  • Kalıcı Kontrol: Arka kapılar genellikle güvenliği ihlal edilmiş bir cihaz üzerinde kalıcı kontrol sağlar. Saldırganlar, kullanıcının bilgisi olmadan cihazı uzaktan manipüle edebilir, güvenli olmayan komutlar yürütebilir ve erişimi uzun süre koruyabilir.
  • Yayılma ve Yanal Hareket: Arka kapılar, saldırganların bir cihazdan diğerine yanal olarak hareket etmesine izin vererek kötü amaçlı yazılımın ağ içinde yayılmasını kolaylaştırabilir. Bu, yaygın enfeksiyonlara yol açarak kuruluşların tehdidi kontrol altına almasını ve ortadan kaldırmasını zorlaştırabilir.
  • Fidye Yazılımı Dağıtımı: Arka kapılar, virüslü cihaz veya ağdaki dosyaları şifreleyen fidye yazılımının dağıtımı için bir giriş noktası görevi görebilir. Suçlular daha sonra şifre çözme anahtarı için fidye talep ederek normal operasyonları aksatıyor ve mali kayıplara neden oluyor.
  • Sistem Bütünlüğünün Tehlikeye Atılması: Arka kapılar, güvenlik özelliklerini değiştirerek veya devre dışı bırakarak sistemin bütünlüğünü tehlikeye atabilir. Bu, kötü amaçlı yazılımın tespit edilememesi veya kaldırılamaması gibi bir dizi soruna yol açarak cihazı daha fazla istismara karşı savunmasız bırakabilir.
  • Tedarik Zinciri Saldırıları: Tedarik zinciri süreci sırasında yazılıma veya ürün yazılımına arka kapılar enjekte edilebilir. Önceden yüklenmiş arka kapılara sahip cihazlar, şüphelenmeyen kullanıcılara dağıtılabilir; bu da bireyler, işletmeler ve hatta kritik altyapı için önemli bir tehdit oluşturabilir.

Bu tehlikeleri azaltmak için bireylerin ve kuruluşların düzenli yazılım güncellemeleri, kötü amaçlı yazılımdan koruma çözümleri, ağ izleme ve potansiyel tehditleri tanıma ve bunlardan kaçınma konusunda kullanıcı eğitimi dahil olmak üzere sağlam siber güvenlik önlemleri oluşturması esastır.

 

trend

En çok görüntülenen

Yükleniyor...