Προηγμένη ομάδα επίμονης απειλής που υποστηρίζεται από τη Ρωσία (APT) Τούρλα στοχεύει τώρα πολωνικές ΜΚΟ σε μια εκστρατεία κυβερνοκατασκοπείας που χρησιμοποιεί μια πρόσφατα αναπτυγμένη κερκόπορτα με αρθρωτές δυνατότητες, σηματοδοτώντας μια επέκταση του εύρους των επιθέσεων της εναντίον υποστηρικτών της ουκρανικής πολεμικής προσπάθειας.
Σύμφωνα με ένα Cisco Talos ανάρτηση ιστολογίου που δημοσιεύτηκε σήμερα στο Turla (γνωστός και ως Snake, Urobouros, Venomous Bear ή WaterBug), η κερκόπορτα που χρησιμοποιήθηκε στις επιθέσεις, που ονομάζεται "TinyTurla-NG", έχει λειτουργίες που μοιάζουν πολύ με το γνωστό προσαρμοσμένο κακόβουλο λογισμικό του APT, το με παρόμοια ονομασία TinyTurla. Λειτουργεί ως backdoor «τελευταίας ευκαιρίας» «που αφήνεται πίσω για να χρησιμοποιηθεί όταν όλοι οι άλλοι μη εξουσιοδοτημένοι μηχανισμοί πρόσβασης/πίσω πόρτας έχουν αποτύχει ή έχουν εντοπιστεί στα μολυσμένα συστήματα», έγραψαν οι ερευνητές της Cisco Talos στην ανάρτηση.
Το προσαρμοσμένο κακόβουλο λογισμικό TinyTurla-NG γίνεται αρθρωτό
Όπως το TinyTurla πριν, το TinyTurla-NG είναι μια υπηρεσία DLL που ξεκίνησε μέσω του svchost.exe. Ωστόσο, ο κώδικας του κακόβουλου λογισμικού είναι νέος και διαφορετικά χαρακτηριστικά κακόβουλου λογισμικού διανέμονται μέσω διαφορετικών νημάτων στη διαδικασία υλοποίησης, κάτι που το ξεχωρίζει από τον προκάτοχό του.
Το APT φιλοξενεί επίσης διαφορετικά σενάρια PowerShell και αυθαίρετες εντολές που μπορούν να εκτελεστούν στο μηχάνημα του θύματος σύμφωνα με τις ανάγκες των επιτιθέμενων, μια άλλη απόκλιση από τις προηγούμενες δυνατότητες backdoor, είπαν οι ερευνητές. Και, παρέχει πρόσθετες δυνατότητες, όπως η εκτέλεση εντολών μέσω επιλογής δύο μηχανισμών — PowerShell ή Διεπαφή Γραμμής Εντολών των Windows.
«Αυτό δείχνει ότι η Turla διαμορφώνει το κακόβουλο λογισμικό της σε διάφορα στοιχεία, πιθανόν να αποφύγει τον εντοπισμό και τον αποκλεισμό μιας ενιαίας ογκώδους κερκόπορτας που είναι υπεύθυνη για τα πάντα στο μολυσμένο τελικό σημείο», δήλωσε στο Dark Reading ένας ερευνητής της Cisco Talos.
Το TinyTurla-NG αναπτύσσει επίσης ένα μέχρι πρότινος άγνωστο εμφύτευμα που βασίζεται σε PowerShell με την ονομασία TurlaPower-NG και στοχεύει ειδικά στην εξαγωγή αρχείων που μπορεί να ενδιαφέρουν τους επιτιθέμενους, σηματοδοτώντας μια άλλη αλλαγή στις τακτικές του APT. Στις επιθέσεις σε πολωνικές ΜΚΟ, η Turla χρησιμοποίησε το εμφύτευμα PowerShell για να ασφαλίσει τις βάσεις δεδομένων κωδικών πρόσβασης δημοφιλούς λογισμικού διαχείρισης, «δείχνοντας μια συντονισμένη προσπάθεια για την Turla να κλέψει τα διαπιστευτήρια σύνδεσης», λέει ο ερευνητής.
Turla: Old Dog, Old & New Tricks
Ο Turla είναι ένας έμπειρος APT, ο οποίος δραστηριοποιείται επί σειρά ετών σε επιθέσεις που πιστεύεται ότι γίνονται για λογαριασμό της ρωσικής κυβέρνησης. Η ομάδα έχει χρησιμοποιήσει μηδενικής ημέρας, νόμιμο λογισμικό, να άλλες τεχνικές για την ανάπτυξη κερκόπορτων σε συστήματα που ανήκουν σε στρατούς και κυβερνήσεις, διπλωματικές οντότητες, να τεχνολογικούς και ερευνητικούς οργανισμούς. Σε μια περίπτωση, ήταν ακόμη και συνδεδεμένο, μέσα από την κερκόπορτα του Kazuar, στο διαβόητο πλέον παραβίαση της SolarWinds.
Η πρώτη ημερομηνία συμβιβασμού αυτής της τελευταίας εκστρατείας κατά των πολωνικών ΜΚΟ που υποστηρίζουν την Ουκρανία ήταν η 18η Δεκεμβρίου και παρέμεινε ενεργή μέχρι τις 27 Ιανουαρίου του τρέχοντος έτους, σύμφωνα με ερευνητές. Υπάρχουν όμως κάποιες ενδείξεις ότι θα μπορούσε να είχε ξεκινήσει ακόμη και νωρίτερα, τον Νοέμβριο.
Αν και το TinyTurla-NG και το TurlaPower-NG είναι νέες μορφές συνήθειας Κακόβουλο λογισμικό Turla που χρησιμοποιήθηκε στην εκστρατεία, η ομάδα συνεχίζει να χρησιμοποιεί επίσης παλιές τακτικές, ιδιαίτερα για τη διοίκηση και τον έλεγχο (C2). Για παράδειγμα, συνεχίζει να αξιοποιεί παραβιασμένους ιστότοπους που βασίζονται σε WordPress ως C2 για να φιλοξενεί και να λειτουργεί το κακόβουλο λογισμικό.
«Οι χειριστές χρησιμοποιούν διαφορετικούς ιστότοπους που εκτελούν ευάλωτες εκδόσεις WordPress (εκδόσεις όπως 4.4.20, 5.0.21, 5.1.18 και 5.7.2), οι οποίες επέτρεψαν τη μεταφόρτωση αρχείων PHP που περιέχουν τον κώδικα C2», σύμφωνα με την ανάρτηση.
Άμυνα ενάντια σε εξελιγμένες κυβερνοεπιθέσεις APT
Η Cisco Talos συμπεριέλαβε μια λίστα με κατακερματισμούς και τομείς στη λίστα δεικτών συμβιβασμού (IoC) για την τελευταία καμπάνια Turla, καθώς και μια λίστα λύσεων ασφαλείας που μπορούν να παρέχουν κάλυψη σε οργανισμούς που ανησυχούν ότι θα στοχοποιηθούν.
Συνολικά, οι ερευνητές συνιστούν στους οργανισμούς να χρησιμοποιούν «α πολυεπίπεδη άμυνα μοντέλο» που επιτρέπει τον εντοπισμό και τον αποκλεισμό κακόβουλης δραστηριότητας από τον αρχικό συμβιβασμό έως την τελική ανάπτυξη ωφέλιμου φορτίου για άμυνα έναντι εξελιγμένων απειλών APT, λέει ο ερευνητής της Cisco Talos.
«Είναι επιτακτική ανάγκη οι οργανισμοί να εντοπίζουν και να προστατεύουν από τέτοιους ισχυρούς και εξελιγμένους αντιπάλους σε πολλαπλές επιφάνειες επιθέσεων», λέει ο ερευνητής.
Η Cisco Talos συνιστά επίσης στους οργανισμούς να χρησιμοποιούν πρακτικές δραστηριότητες στο πληκτρολόγιο, όπως η αρχειοθέτηση αρχείων ενδιαφέροντος και η επακόλουθη διείσδυση για την περαιτέρω προστασία τους από στοχευμένες επιθέσεις.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-turla-novel-backdoor-malware-polish-ngos
