درب پشتی TinyTurla-NG
بازیگر تهدید تورلا، که گمان می رود توسط روسیه حمایت می شود، مشاهده شده است که از یک درپشتی جدید به نام TinyTurla-NG در یک کمپین سه ماهه استفاده می کند. عملیات حمله به طور خاص سازمانهای غیردولتی در لهستان را در اواخر سال 2023 هدف قرار داد. مانند نسخه قبلی خود، TinyTurla، TinyTurla-NG به عنوان یک درب پشتی فشرده «آخرین راهحل» عمل میکند. از نظر استراتژیک مستقر شده است تا زمانی که سایر مکانیسمهای دسترسی غیرمجاز یا درپشتی در سیستمهای آسیبدیده شکست بخورند یا کشف نشوند، خاموش بماند.
TinyTurla-NG که به دلیل شباهت آن به TinyTurla نامگذاری شده است، ایمپلنت دیگری است که توسط گروه متخاصم در نفوذهایی که ایالات متحده، آلمان و افغانستان را هدف قرار می دهند حداقل از سال 2020 استفاده می شود. این شرکت امنیت سایبری ابتدا TinyTurla را در سپتامبر 2021 مستند کرد.
فهرست مطالب
گروه Turla APT اهدافی را که با منافع روسیه هماهنگ شده اند، هماهنگ کرده است
بازیگران تهدید معروف به متخصصان امنیت سایبری تورلا را با نامهای مستعار مختلف از جمله شکارچی آهنی، خرس متفکر، بلیزارد مخفی ( کریپتون سابق)، اسنیک ، اوروبوروس و خرس سمی دنبال میکنند. این گروه هکری وابسته به دولت روسیه و مرتبط با سرویس امنیت فدرال آن (FSB) است.
در ماه های اخیر، Turla به طور خاص بخش دفاعی در اوکراین و اروپای شرقی را هدف قرار داده است و از یک درپشتی جدید مبتنی بر دات نت به نام DeliveryCheck استفاده کرده است. به طور همزمان، عامل تهدید، ایمپلنت مرحله دوم طولانی مدت خود، Kazuar را ارتقا داده است، که حداقل از سال 2017 مورد استفاده قرار گرفته است.
جدیدترین کمپین مربوط به TinyTurla-NG به پایان سال 2023 بازمیگردد و طبق گزارشها تا 27 ژانویه 2024 ادامه داشت. با این حال، بر اساس تاریخهای گردآوری بدافزار مرتبط، گمانهایی وجود دارد که فعالیت مخرب ممکن است از نوامبر 2023 آغاز شده باشد. .
TinyTurla-NG برای تحویل بدافزار Infostealer استفاده می شود
روش توزیع درب پشتی TinyTurla-NG در حال حاضر ناشناخته باقی مانده است. با این حال، مشاهده شده است که از وب سایت های مبتنی بر وردپرس به خطر افتاده به عنوان نقاط پایانی Command-and-Control (C2) استفاده می کند. این وبسایتها برای بازیابی و اجرای دستورالعملها، به TinyTurla-NG اجازه میدهند تا دستورات را از طریق PowerShell یا Command Prompt (cmd.exe) اجرا کند و فعالیتهای دانلود/آپلود فایل را تسهیل کند.
علاوه بر این، TinyTurla-NG به عنوان مجرای برای ارائه TurlaPower-NG عمل میکند، که شامل اسکریپتهای PowerShell است که برای استخراج اطلاعات حیاتی مورد استفاده برای ایمن کردن پایگاههای داده رمز عبور نرمافزار مدیریت رمز عبور محبوب طراحی شدهاند. داده های استخراج شده معمولاً در یک آرشیو ZIP بسته بندی می شوند.
این کمپین سطح بالایی از هدفگیری را نشان میدهد، با تمرکز بر تعدادی منتخب از سازمانها، با تأیید در حال حاضر محدود به سازمانهایی که در لهستان مستقر هستند. این کمپین با تقسیم بندی قوی مشخص می شود، که در آن تعداد کمی از وب سایت های در معرض خطر که به عنوان C2 کار می کنند تنها با تعداد محدودی از نمونه ها تعامل دارند. این ساختار، چرخش از یک نمونه/C2 به نمونه های دیگر را در همان زیرساخت چالش برانگیز می کند.
درهای پشتی به بازیگران تهدید اجازه انجام فعالیت های تهدیدآمیز مختلف را می دهند
دستگاه های آلوده به تهدیدات بدافزار پشتی خطرات قابل توجهی را به همراه دارند، از جمله:
- دسترسی غیرمجاز: درهای پشتی یک نقطه ورود مخفیانه برای مجرمان سایبری به دستگاه ایجاد می کنند. پس از آلوده شدن، مهاجمان می توانند دسترسی غیرمجاز داشته باشند، داده های حساس، اطلاعات شخصی یا مالکیت معنوی را به خطر بیاندازند.
- سرقت داده و جاسوسی: درهای پشتی می توانند برای استخراج اطلاعات محرمانه مانند سوابق مالی، جزئیات شخصی یا استراتژی های تجاری مورد سوء استفاده قرار گیرند. این دادههای جمعآوریشده ممکن است برای سرقت هویت، جاسوسی شرکتی یا فروخته شدن در Dark Web استفاده شوند.
- کنترل مداوم: درهای پشتی اغلب کنترل مداوم بر روی یک دستگاه در معرض خطر را امکان پذیر می کنند. مهاجمان می توانند از راه دور دستگاه را دستکاری کنند، دستورات ناامن را اجرا کنند و دسترسی را برای مدت طولانی بدون اطلاع کاربر حفظ کنند.
- انتشار و حرکت جانبی: درهای پشتی ممکن است با اجازه دادن به مهاجمان برای جابجایی جانبی از یک دستگاه به دستگاه دیگر، گسترش بدافزار را در یک شبکه تسهیل کنند. این می تواند منجر به عفونت های گسترده شود و مهار و ریشه کن کردن تهدید را برای سازمان ها چالش برانگیز می کند.
- استقرار باجافزار: درهای پشتی میتوانند به عنوان نقطه ورود برای استقرار فایلهای رمزگذاری باجافزار در دستگاه یا شبکه آلوده عمل کنند. مجرمان سپس برای کلید رمزگشایی تقاضای باج می کنند که در عملیات عادی اختلال ایجاد می کند و باعث خسارات مالی می شود.
- یکپارچگی سیستم به خطر افتاده: درهای پشتی ممکن است با تغییر یا غیرفعال کردن ویژگی های امنیتی، یکپارچگی یک سیستم را به خطر بیندازند. این می تواند منجر به طیف وسیعی از مشکلات، از جمله ناتوانی در شناسایی یا حذف بدافزار شود، که دستگاه را در برابر بهره برداری بیشتر آسیب پذیر می کند.
- حملات زنجیره تامین: درهای پشتی را می توان در طول فرآیند زنجیره تامین به نرم افزار یا سیستم عامل تزریق کرد. دستگاههای دارای درب پشتی از پیش نصب شده را میتوان بین کاربران ناآگاه توزیع کرد که تهدیدی قابل توجه برای افراد، مشاغل و حتی زیرساختهای حیاتی است.
برای کاهش این خطرات، برای افراد و سازمانها ضروری است که اقدامات امنیتی سایبری قوی، از جمله بهروزرسانیهای منظم نرمافزار، راهحلهای ضد بدافزار، نظارت بر شبکه، و آموزش کاربران در مورد شناسایی و اجتناب از تهدیدات بالقوه را انجام دهند.