HyperStack Backdoor

Die HyperStack-Backdoor ist eine Bedrohung, deren Angriffe erstmals im Jahr 2018 beobachtet wurden. Die Entwicklung und Verwendung der HyperStack-Backdoor wird der Turla APT zugeschrieben, einer Hacking-Organisation, von der angenommen wird, dass sie von Russland aus operiert. Turlas Name ist mit einer großen Anzahl von Angriffen gegen hochkarätige Ziele verbunden, und die HyperStack-Backdoor ist nur eines der vielen Hacking-Tools in ihrem Kit. Die Gruppe verwendet alte Malware regelmäßig wieder und stellt außerdem sicher, dass ihre alten Nutzdaten regelmäßig aktualisiert werden. Beispielsweise wurde die HyperStack-Backdoor seit ihrer ersten Beobachtung im Jahr 2018 mehrfach aktualisiert und überarbeitet.

Die HyperStack-Backdoor wird durch Missbrauch des Windows-Dienstes RPC (Remote Procedure Call) gesteuert. Darüber hinaus kann ein aktives HyperStack-Implantat versuchen, eine Verbindung zu den IPC $ -Freigaben anderer Geräte im selben Netzwerk herzustellen, sodass es sich seitlich ausbreiten kann. Die Malware speichert detaillierte Protokolle zu Fehlern und Ergebnissen der Befehlsausführung. Cybersecurity-Forscher entdeckten auch ein Bereinigungsmodul, mit dem HyperStack Backdoor nach Protokolldateien mit dem Präfix '-X' suchen kann. Sie glauben, dass diese Funktion die Spuren eines unbekannten Malware-Implantats entfernen soll. Eine der beeindruckendsten Kampagnen zur Nutzung der HyperStack Backdoor war gegen eine Schweizer Cyber-Defense-Organisation.

Während die HyperStack Backdoor nicht mit großartigen Funktionen glänzt, ist sie mehr als genug, um die Bedürfnisse der Turla-Mitglieder zu erfüllen. Unnötig zu erwähnen, dass der Missbrauch des RPC-Protokolls und der IPC $ -Anteile sicherlich beeindruckend ist und erneut die Erfahrung und das Fachwissen von Turla unter Beweis stellt.