گروه تهدید پیشرفته پیشرفته (APT) تحت حمایت روسیه تورلا اکنون سازمان‌های غیردولتی لهستانی را در یک کمپین جاسوسی سایبری هدف قرار می‌دهد که از یک درب پشتی تازه توسعه‌یافته با قابلیت‌های مدولار استفاده می‌کند، که نشان‌دهنده گسترش دامنه حملات آن علیه حامیان تلاش‌های جنگی اوکراین است.

بر اساس یک سیسکو تالو پست وبلاگ امروز در Turla منتشر شد (با نام مستعار Snake، Urobouros، Venomous Bear یا WaterBug)، درب پشتی مورد استفاده در حملات، که "TinyTurla-NG" نامیده می شود، عملکردهایی بسیار شبیه بدافزار سفارشی شناخته شده APT، با نام مشابه TinyTurla دارد. محققان Cisco Talos در این پست نوشتند که این درب پشتی "آخرین شانس" عمل می کند "که برای استفاده در زمانی که سایر مکانیسم های دسترسی غیرمجاز/درپشتی در سیستم های آلوده شکست خورده یا شناسایی شده اند، باقی می ماند."

بدافزار سفارشی TinyTurla-NG ماژولار می شود

مانند TinyTurla قبل، TinyTurla-NG یک سرویس DLL است که از طریق svchost.exe شروع شده است. با این حال، کد این بدافزار جدید است و ویژگی‌های مختلف بدافزار از طریق رشته‌های مختلف در فرآیند پیاده‌سازی توزیع می‌شوند، چیزی که آن را از نسخه قبلی خود متمایز می‌کند.

به گفته محققان، APT همچنین میزبان اسکریپت‌های مختلف PowerShell و دستورات دلخواه است که می‌توانند بر اساس نیاز مهاجمان روی ماشین قربانی اجرا شوند، که این انحراف دیگر از قابلیت‌های درب پشتی قبلی است. و قابلیت‌های اضافه‌تری مانند اجرای دستورات از طریق انتخاب دو مکانیسم - PowerShell یا Windows Command Line Interface را فراهم می‌کند. 

یکی از محققان سیسکو تالو به Dark Reading گفت: «این نشان می‌دهد که Turla در حال مدولار کردن بدافزار خود به اجزای مختلف است، احتمالاً از شناسایی و مسدود کردن یک درب پشتی بزرگ که مسئول همه چیز در نقطه پایانی آلوده است، جلوگیری می‌کند.

TinyTurla-NG همچنین یک ایمپلنت ناشناخته مبتنی بر PowerShell به نام TurlaPower-NG را با هدف استخراج فایل‌هایی که ممکن است مورد علاقه مهاجمان باشد، مستقر می‌کند که نشان‌دهنده تغییر دیگری در تاکتیک‌های APT است. این محقق می‌گوید در حملات به سازمان‌های غیردولتی لهستانی، تورلا از ایمپلنت PowerShell برای ایمن‌سازی پایگاه‌های رمز عبور نرم‌افزارهای مدیریتی محبوب استفاده کرد، که این محقق می‌گوید: «این نشان‌دهنده تلاش هماهنگ تورلا برای سرقت اعتبارنامه‌های ورود است».

تورلا: سگ قدیمی، ترفندهای قدیمی و جدید

Turla یک APT با تجربه است که چندین سال در حملاتی که گمان می رود از طرف دولت روسیه انجام می شود، فعالیت می کند. گروه استفاده کرده است روز صفر, نرم افزار قانونیو تکنیک های دیگر برای استقرار درهای پشتی در سیستم های متعلق به ارتش ها و دولت ها, نهادهای دیپلماتیکو سازمان های فناوری و تحقیقاتی. در یک مورد، حتی لینک شداز طریق درب پشتی Kazuar خود، به رخنه بدنام SolarWinds.

به گفته محققان، اولین تاریخ سازش این جدیدترین کمپین علیه سازمان های غیر دولتی لهستانی حامی اوکراین، 18 دسامبر بود و طبق گفته محققان، تا 27 ژانویه سال جاری فعال بود. با این حال، نشانه‌هایی وجود دارد که حتی می‌توانست زودتر از ماه نوامبر شروع شود.

اگرچه TinyTurla-NG و TurlaPower-NG اشکال جدیدی از سفارشی هستند بدافزار Turla این گروه در کمپین مورد استفاده قرار می‌گیرد و همچنان از تاکتیک‌های قدیمی به‌ویژه برای فرماندهی و کنترل (C2) استفاده می‌کند. به عنوان مثال، همچنان به استفاده از وب‌سایت‌های مبتنی بر وردپرس آسیب‌دیده به‌عنوان C2 برای میزبانی و اجرای بدافزار ادامه می‌دهد.

طبق این پست، اپراتورها از وب‌سایت‌های مختلفی استفاده می‌کنند که نسخه‌های آسیب‌پذیر وردپرس را اجرا می‌کنند (نسخه‌های 4.4.20، 5.0.21، 5.1.18 و 5.7.2)، که امکان آپلود فایل‌های PHP حاوی کد C2 را فراهم می‌کرد.

دفاع در برابر حملات سایبری پیشرفته APT

Cisco Talos فهرستی از هش‌ها و دامنه‌ها را در فهرست شاخص‌های سازش (IoC) برای آخرین کمپین Turla، و همچنین فهرستی از راه‌حل‌های امنیتی که می‌تواند برای سازمان‌هایی که نگران هدف قرار گرفتن هستند، پوشش دهد، گنجانده است.

به طور کلی، محققان توصیه می کنند که سازمان ها از «الف دفاع لایه ای محقق Cisco Talos می‌گوید، مدلی که امکان شناسایی و مسدود کردن فعالیت‌های مخرب را از به خطر انداختن اولیه تا استقرار بار نهایی برای دفاع در برابر تهدیدات APT پیچیده می‌دهد.

این محقق می‌گوید: «ضروری است که سازمان‌ها در برابر چنین دشمنان بسیار با انگیزه و پیچیده در سطوح مختلف حمله شناسایی و از آنها محافظت کنند.»

Cisco Talos همچنین توصیه می‌کند که سازمان‌ها از فعالیت‌های دستی روی صفحه‌کلید مانند بایگانی فایل‌های مورد علاقه و استخراج بعدی برای محافظت بیشتر از خود در برابر حملات هدفمند استفاده کنند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-turla-novel-backdoor-malware-polish-ngos