HyperStack Backdoor

HyperStack Backdoor er en trussel, hvis angreb først blev observeret i 2018. Udviklingen og brugen af HyperStack Backdoor tilskrives Turla APT, en hackingorganisation, der menes at operere fra Rusland. Turlas navn er forbundet med et stort antal angreb mod højt profilerede mål, og HyperStack Backdoor er kun et af de mange hackingsværktøjer i deres kit. Gruppen genbruger gammel malware regelmæssigt, og de sørger også for at introducere regelmæssige opdateringer til deres gamle nyttelast. For eksempel har HyperStack Backdoor gennemgået flere opdateringer og har omarbejdet funktion, siden den først blev observeret i 2018.

HyperStack Backdoor styres ved at misbruge RPC-tjenesten (Remote Procedure Call). Ud over dette kan et aktivt HyperStack-implantat forsøge at oprette forbindelse til IPC $-aktierne på andre enheder på det samme netværk, hvilket gør det muligt at sprede sig lateralt. Malwaren gemmer detaljerede logfiler om eventuelle fejl og resultater fra kommandokørsel. Cybersikkerhedsforsker opdagede også et oprydningsmodul, der gør det muligt for HyperStack Backdoor at kigge efter logfiler med præfikset '-X' - de mener, at denne funktion er beregnet til at fjerne spor af et ukendt malwareimplantat. En af de mest imponerende kampagner for at bruge HyperStack Backdoor var mod en schweizisk cyberforsvarsorganisation.

Mens HyperStack Backdoor ikke skinner med nogle fantastiske funktioner. Det er mere end nok til at imødekomme Turlas medlemmer. Det er overflødigt at sige, at misbrug af RPC-protokollen og IPC $-aktier bestemt er imponerende og igen viser Turlas erfaring og ekspertise.