Οι ερευνητές ασφαλείας εντόπισαν και ανέλυσαν νέο κακόβουλο λογισμικό που ονομάζουν TinyTurla-NG και TurlaPower-NG που χρησιμοποιείται από τη ρωσική ομάδα χάκερ Turla για τη διατήρηση της πρόσβασης στο δίκτυο ενός στόχου και την κλοπή ευαίσθητων δεδομένων.
Ο παράγοντας
απε
ιλών χρησιμοποίησε πολλούς ιστότοπους που εκτελούσαν ευάλωτες εκδόσεις του WordPress για σκοπούς εντολής και ελέγχου (C2) και για να φιλοξενήσει κακόβουλα σενάρια PowerShell.
Η Turla είναι μια ομάδα απειλών κυβερνοκατασκοπείας που δραστηριοποιείται τουλάχιστον από το 2004 και συνδέεται με μια ρωσική υπηρεσία πληροφοριών, και συγκεκριμένα την Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB).
Επικεντρώνεται στη στόχευση οργανισμών σε διάφορους τομείς (π.χ. κυβέρνηση, στρατός, εκπαίδευση, έρευνα, φαρμακευτική, ΜΚΟ) χρησιμοποιώντας προσαρμοσμένα εργαλεία και κακόβουλο λογισμικό.
Ιστότοποι WordPress για εντολή και έλεγχο
Οι ερευνητές ασφαλείας της Cisco Talos ανακάλυψαν το TinyTurla-NG ενώ ερευνούσαν έναν συμβιβασμό σε συνεργασία με
CERT.MGO
σε μια πολωνική μη κυβερνητική οργάνωση που υποστηρίζει την Ουκρανία κατά τη διάρκεια της ρωσικής εισβολής.
Το κακόβουλο λογισμικό στόχευσε τη ΜΚΟ ήδη από τον περασμένο Δεκέμβριο και ανέπτυξε τα σενάρια TurlaPower-NG PowerShell για να διευρύνει τους κύριους κωδικούς πρόσβασης για δημοφιλές λογισμικό διαχείρισης κωδικών πρόσβασης.
Σύμφωνα με τους ερευνητές, η TinyTurla-NG στοχεύει ενεργά πολλές ΜΚΟ στην Πολωνία.
Οι διακομιστές C2 που χρησιμοποιούνται στην
καμπάνια
TinyTurla-NG είναι νόμιμοι αλλά ευάλωτοι ιστότοποι WordPress, τους οποίους ο παράγοντας απειλής παραβιάζει για να ρυθμίσει σενάρια, καταγραφή μόλυνσης και καταλόγους που είναι απαραίτητοι για την επικοινωνία με το εμφύτευμα και την αποθήκευση κλεμμένων δεδομένων.
Το κακόβουλο λογισμικό TinyTurla-NG λειτουργεί ως backdoor και σκοπός του είναι να παρέχει στον παράγοντα απειλής πρόσβαση στο παραβιασμένο σύστημα όταν όλοι οι άλλοι μηχανισμοί αποτυγχάνουν ή όταν έχουν εντοπιστεί και αφαιρεθεί.
ο
Τεχνική αναφορά
από τη Cisco Talos εξηγεί ότι το TinyTurla-NG είναι μια υπηρεσία DLL που ξεκίνησε
svchost.exe
και οι δυνατότητες του κακόβουλου λογισμικού διανέμονται μέσω διαφόρων νημάτων.
Χρησιμοποιώντας εντολές που είναι αποθηκευμένες σε παραβιασμένους ιστότοπους με μια παλιά έκδοση του WordPress, οι χάκερ μπορούν να ελέγξουν το TinyTurla-NG με τις ακόλουθες εντολές:
-
τέλος χρόνου
: αλλάζει τον αριθμό των λεπτών που κοιμάται η κερκόπορτα μεταξύ ζητώντας από το C2 νέες εργασίες -
αλλαγή κόλασης
: δίνει εντολή στην κερκόπορτα να αλλάξει τις τρέχουσες εντολές εκτέλεσης του κελύφους, π.χ. από cmd.exe σε PowerShell.exe ή αντίστροφα. -
σημείο αλλαγής
: πιθανότατα χρησιμοποιείται για οδηγίες για τη μετάβαση στη δεύτερη διεύθυνση URL C2 που είναι διαθέσιμη στο εμφύτευμα. -
παίρνω
: ανακτά ένα αρχείο που καθορίζεται από το C2 χρησιμοποιώντας ένα αίτημα HTTP GET και το εγγράφει σε μια καθορισμένη θέση στο δίσκο -
Θέση
: διοχετεύει ένα αρχείο από το θύμα στο C2 -
Σκότωσέ με
: δημιουργεί ένα αρχείο BAT με όνομα που βασίζεται σε μια δεδομένη παράμετρο
Η εξ
αγωγή
δεδομένων πραγματοποιείται χρησιμοποιώντας κακόβουλα σενάρια PowerShell, τα οποία οι ερευνητές ονόμασαν TurlaPower-NG, παραδόθηκαν μέσω της νέας κερκόπορτας.
«Τα σενάρια αποτελούνται από τη διεύθυνση URL C2 και τις διαδρομές αρχείου προορισμού. Για κάθε καθορισμένη διαδρομή αρχείου, το σενάριο θα απαριθμήσει αναδρομικά
αρχεία
και θα τα προσθέσει σε ένα αρχείο στο δίσκο” –
Cisco Talos
Κατά το στάδιο της απαρίθμησης, τα σενάρια εξαιρούν αρχεία βίντεο με επέκταση .MP4. Τα στοχευμένα δεδομένα είναι κωδικοί πρόσβασης που ξεκλειδώνουν λογισμικό διαχείρισης κωδικών πρόσβασης ή βάσεις δεδομένων, οι οποίες είναι τυλιγμένες σε ένα αρχείο .ZIP.
Υπάρχουν τουλάχιστον τρεις παραλλαγές της κερκόπορτας TinyTurla-NG, αλλά οι ερευνητές μπορούσαν να έχουν πρόσβαση μόνο σε δύο από αυτές.
Με βάση τα ευρήματα, η Turla είχε πρόσβαση στην υποδομή-στόχο μεταξύ 18 Δεκεμβρίου και 27 Ιανουαρίου. Ωστόσο, σύμφωνα με τις ημερομηνίες συλλογής κακόβουλου λογισμικού, η καμπάνια πιθανότατα ξεκίνησε ήδη από τον Νοέμβριο του περασμένου έτους.
Ενώ ο κωδικός του TinyTurla-NG είναι διαφορετικός από τον παλαιότερο του ηθοποιού απειλών
TinyTurla
εμφύτευμα, και οι δύο έχουν την ίδια χρήση, λειτουργώντας ως «μυστική κερκόπορτα» που συνεχίζει να παρέχει πρόσβαση όταν άλλες μέθοδοι είναι ανεπιτυχείς. Τα δύο εμφυτεύματα μοιράζονται ομοιότητες στο στυλ κωδικοποίησης και στην εφαρμογή λειτουργικότητας.
Η Cisco Talos διαθέτει ένα μικρό σύνολο δεικτών συμβιβασμού για το TinyTurla-NG και στα δύο
.ΚΕΙΜΕΝΟ
και
.JSON
μορφή.
VIA:
bleepingcomputer.com
