Backdoor HyperStack

HyperStack Backdoor è una minaccia i cui attacchi sono stati osservati per la prima volta nel 2018. Lo sviluppo e l'utilizzo di HyperStack Backdoor sono attribuiti a Turla APT, un'organizzazione di hacker che si ritiene operi dalla Russia. Il nome di Turla è associato a un gran numero di attacchi contro obiettivi di alto profilo e HyperStack Backdoor è solo uno dei tanti strumenti di hacking nel loro kit. Il gruppo riutilizza regolarmente il vecchio malware e si assicura anche di introdurre aggiornamenti regolari ai loro vecchi payload. Ad esempio, HyperStack Backdoor è stato sottoposto a diversi aggiornamenti e funzionalità rielaborate da quando è stato osservato per la prima volta nel 2018.

La HyperStack Backdoor è controllata abusando del servizio di Windows Remote Procedure Call (RPC). Oltre a questo, un impianto HyperStack attivo può provare a connettersi alle condivisioni IPC $ di altri dispositivi sulla stessa rete, consentendogli così di diffondersi lateralmente. Il malware memorizza registri dettagliati relativi a eventuali errori e risultati dall'esecuzione del comando. Un ricercatore di sicurezza informatica ha anche scoperto un modulo di pulizia che consente a HyperStack Backdoor di cercare i file di registro con il prefisso "-X": ritengono che questa funzione abbia lo scopo di rimuovere le tracce di un impianto di malware sconosciuto. Una delle campagne più impressionanti per utilizzare HyperStack Backdoor è stata contro un'organizzazione di difesa informatica svizzera.

Anche se HyperStack Backdoor non brilla con grandi funzionalità. È più che sufficiente per soddisfare le esigenze dei soci di Turla. Inutile dire che l'abuso del protocollo RPC e delle quote IPC $ è sicuramente impressionante e dimostra ancora una volta l'esperienza e la competenza di Turla.