HyperStack Backdoor

De HyperStack Backdoor is een bedreiging waarvan de aanvallen voor het eerst werden waargenomen in 2018. De ontwikkeling en het gebruik van de HyperStack Backdoor worden toegeschreven aan de Turla APT, een hackingorganisatie die vermoedelijk vanuit Rusland opereert. Turla's naam wordt geassocieerd met een groot aantal aanvallen op spraakmakende doelen, en de HyperStack Backdoor is slechts een van de vele hacktools in hun kit. De groep hergebruikt regelmatig oude malware, en ze zorgen er ook voor dat ze hun oude payloads regelmatig updaten. De HyperStack-achterdeur heeft bijvoorbeeld verschillende updates ondergaan en heeft nieuwe functies ondergaan sinds deze voor het eerst werd waargenomen in 2018.

De HyperStack Backdoor wordt bestuurd door misbruik te maken van de Remote Procedure Call (RPC) Windows-service. Daarnaast kan een actief HyperStack-implantaat proberen verbinding te maken met de IPC $ -aandelen van andere apparaten op hetzelfde netwerk, waardoor het zich lateraal kan verspreiden. De malware slaat gedetailleerde logboeken op met betrekking tot eventuele fouten en resultaten van het uitvoeren van opdrachten. Cybersecurity-onderzoeker ontdekte ook een opschoningsmodule waarmee HyperStack Backdoor kan zoeken naar logbestanden met het voorvoegsel '-X' - zij denken dat deze functie bedoeld is om de sporen van een onbekende malware-implantaat te verwijderen. Een van de meest indrukwekkende campagnes om de HyperStack Backdoor te gebruiken, was tegen een Zwitserse cyberverdedigingsorganisatie.

Terwijl de HyperStack Backdoor niet schittert met geweldige functies. Het is meer dan voldoende om aan de behoeften van Turla's leden te voldoen. Onnodig te zeggen dat het misbruik van het RPC-protocol en IPC $ -aandelen zeker indrukwekkend is en nogmaals Turla's ervaring en expertise bewijzen.