HyperStack Backdoor

O HyperStack Backdoor é uma ameaça cujos ataques foram observados pela primeira vez em 2018. O desenvolvimento e o uso do HyperStack Backdoor são atribuídos ao Turla APT, uma organização de hackers que se acredita operar na Rússia. O nome de Turla está associado a um grande número de ataques contra alvos de alto perfil, e o HyperStack Backdoor é apenas uma das muitas ferramentas de hacking em seu kit. O grupo reutiliza malware antigo regularmente e também se certifica de introduzir atualizações regulares em seus payloads antigos. Por exemplo, o HyperStack Backdoor passou por várias atualizações e retrabalhos de recursos desde que foi observado pela primeira vez em 2018.

O HyperStack Backdoor é controlado abusando do serviço do Windows Remote Procedure Call (RPC). Além disso, um implante HyperStack ativo pode tentar se conectar aos compartilhamentos IPC $ de outros dispositivos na mesma rede, permitindo que ele se espalhe lateralmente. O malware armazena registros detalhados sobre quaisquer erros e resultados da execução do comando. O pesquisador de segurança cibernética também descobriu um módulo de limpeza que permite ao HyperStack Backdoor procurar arquivos de log com o prefixo '-X' - eles acreditam que esse recurso se destina a remover os traços de um implante de malware desconhecido. Uma das campanhas mais impressionantes de usar o HyperStack Backdoor foi contra uma organização suíça de defesa cibernética.

Enquanto o HyperStack Backdoor não brilha com grandes recursos. É mais do que suficiente para atender às necessidades dos membros de Turla. Desnecessário dizer que o abuso do protocolo RPC e das ações IPC$ são certamente impressionantes e mais uma vez comprovam a experiência e perícia de Turla.