Ruská skupina Turla APT zavádza nové zadné vrátka na cielených systémoch

Štátom podporovaní hackeri napojení na Rusko stoja za novou sériou prienikov pomocou predtým nezdokumentovaného implantátu na kompromitovanie systémov v USA, Nemecku a Afganistane.

Spoločnosť Cisco Talos pripísala útoky skupine pokročilých perzistentných hrozieb (APT) Turla, ktorá vytvorila malvér „TinyTurla“ pre jeho obmedzenú funkčnosť a efektívny štýl kódovania, ktorý mu umožňuje zostať neodhalený. Predpokladá sa, že k útokom zahŕňajúcim zadné vrátka dochádzalo od roku 2020.

„Tento jednoduchý backdoor sa pravdepodobne používa ako zadné vrátka druhej šance na udržanie prístupu do systému, aj keď je odstránený primárny malvér,“ uviedli vedci. “Mohlo by sa použiť aj ako kvapkadlo druhej fázy na infikovanie systému ďalším škodlivým softvérom.” Okrem toho môže TinyTurla nahrávať a spúšťať súbory alebo exfiltrovať citlivé údaje z infikovaného počítača na vzdialený server a zároveň každých päť sekúnd žiadať príkazovú a ovládaciu (C2) stanicu o akékoľvek nové príkazy.

Ruskom sponzorovaná špionážna skupina, známa aj pod prezývkami Snake, Venomous Bear, Uroburos a Iron Hunter, je známa svojimi kybernetickými ofenzívami zameranými na vládne subjekty a ambasády v USA, Európe a krajinách východného bloku. Kampaň TinyTurla zahŕňa použitie súboru .BAT na nasadenie malvéru, ale presná trasa prieniku zostáva zatiaľ nejasná.

Nové zadné vrátka, ktoré sa maskujú ako neškodný, ale falošný Microsoft Windows Časová služba (“w32time.dll”), aby preletela pod radarom – je organizovaná tak, aby sa zaregistrovala a nadviazala komunikáciu so serverom ovládaným útočníkom, aby dostala ďalšie pokyny, od sťahovania a vykonávania ľubovoľných procesov až po nahranie výsledkov príkazov späť na server.

Prepojenia TinyTurla s Turlou pochádzajú z prekrývania sa v spôsobe operandi, ktorý bol predtým identifikovaný ako rovnaká infraštruktúra, ktorú skupina v minulosti používala v iných kampaniach. Útoky sú však v ostrom kontraste s historickými skrytými kampaňami skupiny, ktoré zahŕňali kompromitované webové servery a unesené satelitné pripojenia pre ich infraštruktúru C2, nehovoriac o vyhýbavom malvéri ako Crutch a Kazuar.

“Toto je dobrý príklad toho, ako ľahko sa dajú prehliadnuť škodlivé služby na dnešných systémoch, ktoré sú zatemnené nespočetným množstvom legitímnych služieb bežiacich neustále na pozadí,” poznamenali vedci.

“Teraz je dôležitejšie ako kedykoľvek predtým mať viacvrstvovú bezpečnostnú architektúru na detekciu takýchto útokov. Nie je nepravdepodobné, že sa protivníkom podarí obísť jedno alebo druhé bezpečnostné opatrenie, ale je to pre nich oveľa ťažšie.” obísť ich všetky.”