Бекдор TinyTurla-NG

Зловмисник Turla, якого, як вважають, підтримує Росія, використовував новий бекдор під назвою TinyTurla-NG у кампанії, яка тривала три місяці. Операція нападу була спрямована саме на неурядові організації в Польщі наприкінці 2023 року. Подібно до свого попередника TinyTurla, TinyTurla-NG функціонує як компактний бекдор «останньої інстанції». Його стратегічно розгортають, щоб залишатися в бездіяльності, доки всі інші механізми несанкціонованого доступу або бекдорів у скомпрометованих системах не вийдуть з ладу або не будуть виявлені.

TinyTurla-NG, названий через схожість із TinyTurla, є ще одним імплантатом, який ворожий колектив використовує для вторгнень у США, Німеччину та Афганістан принаймні з 2020 року. Компанія з кібербезпеки спочатку задокументувала TinyTurla у вересні 2021 року.

Група Turla APT займалася компромісом цілей, узгоджених з інтересами Росії

Зловмисники, відомі як спеціалісти з кібербезпеки, відстежують Turla під різними псевдонімами, зокрема Iron Hunter, Pensive Ursa, Secret Blizzard (раніше Krypton ), Snake , Uroburos і Venomous Bear. Ця хакерська група афілійована з російською державою та пов’язана з її Федеральною службою безпеки (ФСБ).

В останні місяці Turla спеціально націлилася на оборонний сектор в Україні та Східній Європі, використовуючи новий бекдор на базі .NET під назвою DeliveryCheck. Водночас загрозливий актор оновив свій давній імплантат другого етапу Kazuar , який використовується щонайменше з 2017 року.

Остання кампанія за участю TinyTurla-NG почалася в кінці 2023 року і, як повідомляється, тривала до 27 січня 2024 року. Проте є підозри, що зловмисна діяльність могла початися ще в листопаді 2023 року, виходячи з дат компіляції пов’язаного зловмисного програмного забезпечення. .

TinyTurla-NG використовується для доставки зловмисного програмного забезпечення Infostealer

Спосіб поширення бекдора TinyTurla-NG наразі залишається невідомим. Однак було помічено використання скомпрометованих веб-сайтів на основі WordPress як кінцевих точок командування та керування (C2). Ці веб-сайти служать для отримання та виконання інструкцій, дозволяючи TinyTurla-NG виконувати команди через PowerShell або командний рядок (cmd.exe) і сприяти завантаженню/завантаженню файлів.

Крім того, TinyTurla-NG служить каналом для доставки TurlaPower-NG, який складається зі сценаріїв PowerShell, призначених для вилучення важливої інформації, яка використовується для захисту баз даних паролів популярного програмного забезпечення для керування паролями. Відфільтровані дані зазвичай упаковуються в ZIP-архів.

Ця кампанія демонструє високий рівень націлювання, зосереджуючись на вибраній кількості організацій, причому підтвердження наразі обмежено організаціями, розташованими в Польщі. Кампанія характеризується сильним відокремленням, де кілька скомпрометованих веб-сайтів, що виконують функції C2, взаємодіють лише з обмеженою кількістю зразків. Ця структура ускладнює перехід від одного зразка/C2 до інших у межах однієї інфраструктури.

Бекдори дозволяють зловмисникам виконувати різноманітні загрозливі дії

Пристрої, заражені бекдор-шкідливими загрозами, становлять значні небезпеки, зокрема:

• Несанкціонований доступ: бекдори забезпечують приховану точку входу для кіберзлочинців у пристрій. Після зараження зловмисники можуть отримати несанкціонований доступ, скомпрометувавши конфіденційні дані, особисту інформацію чи інтелектуальну власність.
• Крадіжка даних і шпигунство: бекдори можна використовувати для викрадання конфіденційної інформації, такої як фінансові записи, особисті дані або бізнес-стратегії. Ці зібрані дані можуть бути використані для крадіжки особистих даних, корпоративного шпигунства або продажу в темній мережі.
• Постійний контроль: бекдори часто забезпечують постійний контроль над скомпрометованим пристроєм. Зловмисники можуть віддалено маніпулювати пристроєм, виконувати небезпечні команди та підтримувати доступ протягом тривалого часу без відома користувача.
• Поширення та бічний рух: бекдори можуть сприяти поширенню зловмисного програмного забезпечення в мережі, дозволяючи зловмисникам переміщатися з одного пристрою на інший. Це може призвести до широкого зараження, що ускладнить для організацій стримування та викорінення загрози.
• Розгортання програм-вимагачів: бекдори можуть служити точкою входу для розгортання файлів шифрування програм-вимагачів на зараженому пристрої чи в мережі. Потім злочинці вимагають викуп за ключ дешифрування, порушуючи нормальну роботу та завдаючи фінансових збитків.
• Порушена цілісність системи: бекдори можуть порушити цілісність системи шляхом зміни або вимкнення функцій безпеки. Це може призвести до ряду проблем, зокрема до неможливості виявити або видалити зловмисне програмне забезпечення, через що пристрій буде вразливим для подальшої експлуатації.
• Атаки на ланцюг поставок: бекдори можуть бути впроваджені в програмне забезпечення або мікропрограму під час процесу ланцюга поставок. Пристрої з попередньо встановленими бекдорами можуть бути розповсюджені серед користувачів, які нічого не підозрюють, створюючи значну загрозу для окремих осіб, компаній і навіть критичної інфраструктури.

Щоб пом’якшити ці небезпеки, для окремих осіб і організацій важливо встановлювати надійні заходи кібербезпеки, зокрема регулярні оновлення програмного забезпечення, рішення для захисту від зловмисного програмного забезпечення, моніторинг мережі та навчання користувачів розпізнаванню й уникненню потенційних загроз.