Российские государственные хакеры используют новое вредоносное ПО TinyTurla как вторичный бэкдор

45
Популярная библиотека NPM взломана для установки хищников паролей и майнеров

Спонсируемые государством российские хакеры, известные как группа Turla APT, в течение последнего года использовали новое вредоносное ПО, которое выступало в качестве вторичного метода сохранения на скомпрометированных системах в США, Германии и Афганистане.

Бэкдор, получивший название TinyTurla из-за его ограниченной функциональности и несложного стиля кодирования, также может использоваться как скрытый дроппер вредоносных программ второго уровня.

Просто и эффективно

Исследователи безопасности из Cisco Talos говорят, что TinyTurla — это «ранее не обнаруженный» бэкдор от группы Turla APT, который использовался как минимум с 2020 года, ускользнув от систем обнаружения вредоносных программ, особенно из-за своей простоты.

«Это вредоносное ПО привлекло наше внимание, когда оно было нацелено на Афганистан до недавнего захвата правительства Талибаном и вывода вооруженных сил, поддерживаемых Западом» — Cisco Talos

Судебно-медицинские данные показывают, что злоумышленники Turla APT (повышенная постоянная угроза) нацелены на предыдущее афганское правительство с помощью недавно обнаруженного бэкдора.

Однако данные телеметрии Cisco Talos, с помощью которых исследователь обнаружил новое вредоносное ПО, показывают, что TinyTurla также была развернута в системах в США и Германии.

Связать бэкдор TinyTurla с российскими государственными хакерами стало возможно, потому что злоумышленник использовал ту же инфраструктуру, что и в других атаках, приписываемых группе Turla APT.

«Одна публичная причина, по которой мы приписали этот бэкдор Turla, — это тот факт, что они использовали ту же инфраструктуру, что и для других атак, которые явно были связаны с их инфраструктурой Penguin Turla» — Cisco Talos

В исследовательской опубликованном сегодня, исследователи говорят, что хакеры использовали вредоносные программы «в качестве второго шанса бэкдор для сохранения доступа к системе», если инструмент первичного доступа был удален.

По сравнению с полноценным бэкдором, функциональность TinyTurla ограничена основными задачами, включая загрузку, загрузку и выполнение файлов.

Глядя на коды, полученные от сервера управления и контроля (C2), исследователи собрали следующие команды:

  • 0x00: «Аутентификация»
  • 0x01: «Выполнить процесс»
  • 0x02: «Выполнить с выходной коллекцией»
  • 0x03: «Загрузить файл»
  • 0x04: «Загрузить файл»
  • 0x05: «Создать подпроцесс»
  • 0x06: «Закрыть подпроцесс»
  • 0x07: ‘Вход / выход канала подпроцесса’
  • 0x08: «Установить длительность»
  • 0x09: «Установить TimeShort»
  • 0x0A: «Установить новый пароль безопасности»
  • 0x0B: ‘Установить хост (ы)’

Поскольку вредоносная программа была обнаружена путем сбора данных телеметрии, остается неизвестным, как она попала в системы-жертвы. Однако Cisco Talos предоставляет некоторые технические подробности в сегодняшнем блоге.

Злоумышленник использовал файл .BAT для установки бэкдора. Он замаскирован под файл DLL (w64time.dll), чтобы выдать себя за w32time.dll, законную службу времени Windows.

Маскировка под сервис — это то, что заставило TinyTurla уклониться от обнаружения, потому что большое количество законных сервисов, действующих в фоновом режиме, затрудняет для администраторов проверку того, скрывается ли среди них злонамеренный.

Анализ вредоносного ПО показал, что он обращается к серверу C2 каждые пять секунд, что создает аномалию в сетевом трафике, которую администраторы должны исследовать.

Однако, несмотря на это, Turla могла использовать этот бэкдор почти два года, говорят исследователи.

История Turla уходит корнями в прошлое

Простота TinyTurla контрастирует с типичной тактикой Turla, которая включает в себя методы скрытой эксфильтрации с использованием перехваченных спутниковых соединений , атак типа «водопой», руткитов и скрытых бэкдоров каналов .

Группа APT упоминается под разными именами (например, Waterbug, Venomous Bear, Iron Hunter, Krypton, Snake, Uroburos) в индустрии информационных технологий.

Как минимум с 2014 года он нацелен на жертв шпионажа и кражи данных в самых разных отраслях.

Однако ранняя история группы может восходить к 1996 году, когда она была связана с операцией кибершпионажа Moonlight Maze, массивной утечкой данных, нацеленной на секретную информацию в системах от НАСА, Пентагона, военных подрядчиков и нескольких правительственных агентств в США.

По версии следствия, если бы украденные документы были напечатаны, стопка была бы в три раза выше монумента Вашингтона.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here