گروه تهدید پیشرفته پیشرفته (APT) تحت حمایت روسیه تورلا اکنون سازمانهای غیردولتی لهستانی را در یک کمپین جاسوسی سایبری هدف قرار میدهد که از یک درب پشتی تازه توسعهیافته با قابلیتهای مدولار استفاده میکند، که نشاندهنده گسترش دامنه حملات آن علیه حامیان تلاشهای جنگی اوکراین است.
بر اساس یک سیسکو تالو پست وبلاگ امروز در Turla منتشر شد (با نام مستعار Snake، Urobouros، Venomous Bear یا WaterBug)، درب پشتی مورد استفاده در حملات، که "TinyTurla-NG" نامیده می شود، عملکردهایی بسیار شبیه بدافزار سفارشی شناخته شده APT، با نام مشابه TinyTurla دارد. محققان Cisco Talos در این پست نوشتند که این درب پشتی "آخرین شانس" عمل می کند "که برای استفاده در زمانی که سایر مکانیسم های دسترسی غیرمجاز/درپشتی در سیستم های آلوده شکست خورده یا شناسایی شده اند، باقی می ماند."
بدافزار سفارشی TinyTurla-NG ماژولار می شود
مانند TinyTurla قبل، TinyTurla-NG یک سرویس DLL است که از طریق svchost.exe شروع شده است. با این حال، کد این بدافزار جدید است و ویژگیهای مختلف بدافزار از طریق رشتههای مختلف در فرآیند پیادهسازی توزیع میشوند، چیزی که آن را از نسخه قبلی خود متمایز میکند.
به گفته محققان، APT همچنین میزبان اسکریپتهای مختلف PowerShell و دستورات دلخواه است که میتوانند بر اساس نیاز مهاجمان روی ماشین قربانی اجرا شوند، که این انحراف دیگر از قابلیتهای درب پشتی قبلی است. و قابلیتهای اضافهتری مانند اجرای دستورات از طریق انتخاب دو مکانیسم - PowerShell یا Windows Command Line Interface را فراهم میکند.
یکی از محققان سیسکو تالو به Dark Reading گفت: «این نشان میدهد که Turla در حال مدولار کردن بدافزار خود به اجزای مختلف است، احتمالاً از شناسایی و مسدود کردن یک درب پشتی بزرگ که مسئول همه چیز در نقطه پایانی آلوده است، جلوگیری میکند.
TinyTurla-NG همچنین یک ایمپلنت ناشناخته مبتنی بر PowerShell به نام TurlaPower-NG را با هدف استخراج فایلهایی که ممکن است مورد علاقه مهاجمان باشد، مستقر میکند که نشاندهنده تغییر دیگری در تاکتیکهای APT است. این محقق میگوید در حملات به سازمانهای غیردولتی لهستانی، تورلا از ایمپلنت PowerShell برای ایمنسازی پایگاههای رمز عبور نرمافزارهای مدیریتی محبوب استفاده کرد، که این محقق میگوید: «این نشاندهنده تلاش هماهنگ تورلا برای سرقت اعتبارنامههای ورود است».
تورلا: سگ قدیمی، ترفندهای قدیمی و جدید
Turla یک APT با تجربه است که چندین سال در حملاتی که گمان می رود از طرف دولت روسیه انجام می شود، فعالیت می کند. گروه استفاده کرده است روز صفر, نرم افزار قانونیو تکنیک های دیگر برای استقرار درهای پشتی در سیستم های متعلق به ارتش ها و دولت ها, نهادهای دیپلماتیکو سازمان های فناوری و تحقیقاتی. در یک مورد، حتی لینک شداز طریق درب پشتی Kazuar خود، به رخنه بدنام SolarWinds.
به گفته محققان، اولین تاریخ سازش این جدیدترین کمپین علیه سازمان های غیر دولتی لهستانی حامی اوکراین، 18 دسامبر بود و طبق گفته محققان، تا 27 ژانویه سال جاری فعال بود. با این حال، نشانههایی وجود دارد که حتی میتوانست زودتر از ماه نوامبر شروع شود.
اگرچه TinyTurla-NG و TurlaPower-NG اشکال جدیدی از سفارشی هستند بدافزار Turla این گروه در کمپین مورد استفاده قرار میگیرد و همچنان از تاکتیکهای قدیمی بهویژه برای فرماندهی و کنترل (C2) استفاده میکند. به عنوان مثال، همچنان به استفاده از وبسایتهای مبتنی بر وردپرس آسیبدیده بهعنوان C2 برای میزبانی و اجرای بدافزار ادامه میدهد.
طبق این پست، اپراتورها از وبسایتهای مختلفی استفاده میکنند که نسخههای آسیبپذیر وردپرس را اجرا میکنند (نسخههای 4.4.20، 5.0.21، 5.1.18 و 5.7.2)، که امکان آپلود فایلهای PHP حاوی کد C2 را فراهم میکرد.
دفاع در برابر حملات سایبری پیشرفته APT
Cisco Talos فهرستی از هشها و دامنهها را در فهرست شاخصهای سازش (IoC) برای آخرین کمپین Turla، و همچنین فهرستی از راهحلهای امنیتی که میتواند برای سازمانهایی که نگران هدف قرار گرفتن هستند، پوشش دهد، گنجانده است.
به طور کلی، محققان توصیه می کنند که سازمان ها از «الف دفاع لایه ای محقق Cisco Talos میگوید، مدلی که امکان شناسایی و مسدود کردن فعالیتهای مخرب را از به خطر انداختن اولیه تا استقرار بار نهایی برای دفاع در برابر تهدیدات APT پیچیده میدهد.
این محقق میگوید: «ضروری است که سازمانها در برابر چنین دشمنان بسیار با انگیزه و پیچیده در سطوح مختلف حمله شناسایی و از آنها محافظت کنند.»
Cisco Talos همچنین توصیه میکند که سازمانها از فعالیتهای دستی روی صفحهکلید مانند بایگانی فایلهای مورد علاقه و استخراج بعدی برای محافظت بیشتر از خود در برابر حملات هدفمند استفاده کنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-turla-novel-backdoor-malware-polish-ngos