Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Backdoors Cửa sau TinyTurla-NG

Cửa sau TinyTurla-NG

Đến năm Mezo năm Backdoors, Advanced Persistent Threat (APT), Stealers
Dịch sang:
Tiếng Việt Nam

Kẻ đe dọa Turla, được cho là được Nga hậu thuẫn, đã được quan sát thấy sử dụng một cửa hậu mới có tên TinyTurla-NG trong một chiến dịch kéo dài ba tháng. Hoạt động tấn công đặc biệt nhắm vào các tổ chức phi chính phủ ở Ba Lan vào cuối năm 2023. Tương tự như người tiền nhiệm TinyTurla, TinyTurla-NG hoạt động như một cửa hậu 'cuối cùng' nhỏ gọn. Nó được triển khai một cách chiến lược để không hoạt động cho đến khi tất cả các cơ chế truy cập trái phép hoặc cửa sau khác trên các hệ thống bị xâm nhập không thành công hoặc bị phát hiện.

Được đặt tên vì nó giống với TinyTurla, TinyTurla-NG là một phần mềm cấy ghép khác được nhóm đối thủ sử dụng trong các cuộc xâm nhập nhắm vào Mỹ, Đức và Afghanistan ít nhất là từ năm 2020. Công ty an ninh mạng ban đầu đã ghi nhận TinyTurla vào tháng 9 năm 2021.

Nhóm Turla APT đã thỏa hiệp các mục tiêu phù hợp với lợi ích của Nga

Các tác nhân đe dọa được gọi là chuyên gia an ninh mạng theo dõi Turla dưới nhiều bí danh khác nhau, bao gồm Iron Hunter, Pensive Ursa, Secret Blizzard (trước đây là Krypton ), Snake , Uroburos và Venomous Bear. Nhóm hacker này có liên kết với nhà nước Nga và liên kết với Cơ quan An ninh Liên bang (FSB) của nước này.

Trong những tháng gần đây, Turla đã đặc biệt nhắm mục tiêu vào lĩnh vực quốc phòng ở Ukraine và Đông Âu, sử dụng một cửa hậu dựa trên .NET mới có tên DeliveryCheck. Đồng thời, kẻ đe dọa đã nâng cấp bộ cấy ghép giai đoạn hai lâu đời của mình, Kazuar , đã được sử dụng ít nhất từ năm 2017.

Chiến dịch gần đây nhất có dấu vết của TinyTurla-NG bắt đầu từ cuối năm 2023 và được cho là tiếp tục cho đến ngày 27 tháng 1 năm 2024. Tuy nhiên, có nghi ngờ rằng hoạt động độc hại này có thể đã bắt đầu sớm nhất là từ tháng 11 năm 2023 dựa trên ngày tổng hợp của phần mềm độc hại liên quan .

TinyTurla-NG được sử dụng để phát tán phần mềm độc hại đánh cắp thông tin

Hiện tại, phương pháp phân phối của cửa sau TinyTurla-NG vẫn chưa được biết. Tuy nhiên, người ta đã quan sát thấy việc sử dụng các trang web dựa trên WordPress bị xâm nhập làm điểm cuối Lệnh và Kiểm soát (C2). Các trang web này phục vụ việc truy xuất và thực thi các hướng dẫn, cho phép TinyTurla-NG thực thi các lệnh thông qua PowerShell hoặc Dấu nhắc lệnh (cmd.exe) và tạo điều kiện cho các hoạt động tải xuống/tải tệp lên.

Ngoài ra, TinyTurla-NG đóng vai trò là đường dẫn để cung cấp TurlaPower-NG, bao gồm các tập lệnh PowerShell được thiết kế để lọc thông tin quan trọng dùng để bảo mật cơ sở dữ liệu mật khẩu của phần mềm quản lý mật khẩu phổ biến. Dữ liệu được lọc thường được đóng gói vào kho lưu trữ ZIP.

Chiến dịch này thể hiện mức độ nhắm mục tiêu cao, tập trung vào một số tổ chức được chọn, với xác nhận hiện chỉ giới hạn ở những tổ chức có trụ sở tại Ba Lan. Chiến dịch này có đặc điểm là có sự phân chia mạnh mẽ, trong đó một số trang web bị xâm nhập đóng vai trò là C2 chỉ tương tác với một số lượng mẫu hạn chế. Cấu trúc này gây khó khăn cho việc chuyển từ mẫu/C2 này sang mẫu/C2 khác trong cùng cơ sở hạ tầng.

Cửa sau cho phép kẻ đe dọa thực hiện nhiều hoạt động đe dọa khác nhau

Các thiết bị bị nhiễm các mối đe dọa phần mềm độc hại cửa sau gây ra những mối nguy hiểm đáng kể, bao gồm:

  • Truy cập trái phép: Backdoor cung cấp một điểm xâm nhập lén lút cho tội phạm mạng vào thiết bị. Sau khi bị nhiễm, kẻ tấn công có thể truy cập trái phép, xâm phạm dữ liệu nhạy cảm, thông tin cá nhân hoặc tài sản trí tuệ.
  • Trộm cắp dữ liệu và gián điệp: Cửa hậu có thể bị khai thác để lấy cắp thông tin bí mật, chẳng hạn như hồ sơ tài chính, thông tin cá nhân hoặc chiến lược kinh doanh. Dữ liệu được thu thập này có thể được sử dụng để đánh cắp danh tính, gián điệp công ty hoặc bán trên Dark Web.
  • Kiểm soát liên tục: Backdoor thường cho phép kiểm soát liên tục đối với thiết bị bị xâm nhập. Những kẻ tấn công có thể điều khiển thiết bị từ xa, thực thi các lệnh không an toàn và duy trì quyền truy cập trong thời gian dài mà người dùng không hề hay biết.
  • Lan truyền và di chuyển ngang: Backdoor có thể tạo điều kiện cho phần mềm độc hại phát tán trong mạng bằng cách cho phép kẻ tấn công di chuyển ngang từ thiết bị này sang thiết bị khác. Điều này có thể dẫn đến lây nhiễm trên diện rộng, khiến các tổ chức gặp khó khăn trong việc ngăn chặn và loại bỏ mối đe dọa.
  • Triển khai ransomware: Backdoor có thể đóng vai trò là điểm truy cập để triển khai các tệp mã hóa ransomware trên thiết bị hoặc mạng bị nhiễm. Sau đó, bọn tội phạm yêu cầu tiền chuộc cho khóa giải mã, làm gián đoạn hoạt động bình thường và gây thiệt hại tài chính.
  • Tính toàn vẹn của hệ thống bị xâm phạm: Backdoor có thể làm tổn hại đến tính toàn vẹn của hệ thống bằng cách sửa đổi hoặc vô hiệu hóa các tính năng bảo mật. Điều này có thể dẫn đến một loạt vấn đề, bao gồm cả việc không thể phát hiện hoặc loại bỏ phần mềm độc hại, khiến thiết bị dễ bị khai thác thêm.
  • Tấn công chuỗi cung ứng: Backdoor có thể được đưa vào phần mềm hoặc chương trình cơ sở trong quá trình chuỗi cung ứng. Các thiết bị có cửa hậu được cài đặt sẵn có thể được phân phối đến những người dùng không nghi ngờ, gây ra mối đe dọa đáng kể cho các cá nhân, doanh nghiệp và thậm chí cả cơ sở hạ tầng quan trọng.

Để giảm thiểu những mối nguy hiểm này, điều cơ bản là các cá nhân và tổ chức phải thiết lập các biện pháp an ninh mạng mạnh mẽ, bao gồm cập nhật phần mềm thường xuyên, giải pháp chống phần mềm độc hại, giám sát mạng và giáo dục người dùng về cách nhận biết và tránh các mối đe dọa tiềm ẩn.

 

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
36,927
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...