TinyTurla-NG Hintertür
Es wurde beobachtet, dass der Bedrohungsakteur Turla, der vermutlich von Russland unterstützt wird, in einer dreimonatigen Kampagne eine neue Hintertür namens TinyTurla-NG einsetzte. Die Angriffsoperation richtete sich gegen Ende des Jahres 2023 gezielt gegen Nichtregierungsorganisationen in Polen. Ähnlich wie sein Vorgänger TinyTurla fungiert TinyTurla-NG als kompakte „letzte Instanz“-Hintertür. Es wird strategisch eingesetzt, um inaktiv zu bleiben, bis alle anderen unbefugten Zugriffs- oder Hintertürmechanismen auf den kompromittierten Systemen entweder fehlgeschlagen sind oder entdeckt wurden.
TinyTurla-NG, benannt nach seiner Ähnlichkeit mit TinyTurla, ist ein weiteres Implantat, das das gegnerische Kollektiv seit mindestens 2020 bei Angriffen auf die USA, Deutschland und Afghanistan einsetzt. Das Cybersicherheitsunternehmen dokumentierte TinyTurla erstmals im September 2021.
Inhaltsverzeichnis
Die Turla APT-Gruppe hat Kompromissziele erreicht, die im Einklang mit den Interessen Russlands stehen
Die als Cybersicherheitsspezialisten bekannten Bedrohungsakteure verfolgen Turla unter verschiedenen Decknamen, darunter Iron Hunter, Pensive Ursa, Secret Blizzard (ehemals Krypton ), Snake , Uroburos und Venomous Bear. Diese Hackergruppe ist mit dem russischen Staat verbunden und mit dessen Föderalem Sicherheitsdienst (FSB) verbunden.
In den letzten Monaten hat Turla gezielt den Verteidigungssektor in der Ukraine und Osteuropa ins Visier genommen und dabei eine neue .NET-basierte Hintertür namens DeliveryCheck eingesetzt. Gleichzeitig hat der Bedrohungsakteur sein langjähriges Implantat der zweiten Stufe, Kazuar , aufgerüstet, das seit mindestens 2017 im Einsatz ist.
Die jüngste Kampagne mit TinyTurla-NG reicht bis Ende 2023 zurück und dauerte Berichten zufolge bis zum 27. Januar 2024. Aufgrund der Kompilierungsdaten der zugehörigen Malware besteht jedoch der Verdacht, dass die bösartige Aktivität bereits im November 2023 begonnen haben könnte .
TinyTurla-NG wird für die Verbreitung von Infostealer-Malware verwendet
Die Verbreitungsmethode der TinyTurla-NG-Hintertür ist derzeit noch unbekannt. Es wurde jedoch beobachtet, dass manipulierte WordPress-basierte Websites als Command-and-Control (C2)-Endpunkte genutzt wurden. Diese Websites dienen zum Abrufen und Ausführen von Anweisungen, sodass TinyTurla-NG Befehle über PowerShell oder die Eingabeaufforderung (cmd.exe) ausführen und Aktivitäten zum Herunterladen/Hochladen von Dateien erleichtern kann.
Darüber hinaus dient TinyTurla-NG als Kanal für die Bereitstellung von TurlaPower-NG, das aus PowerShell-Skripten besteht, die dazu dienen, wichtige Informationen herauszufiltern, die zum Sichern von Passwortdatenbanken gängiger Passwortverwaltungssoftware verwendet werden. Die exfiltrierten Daten werden typischerweise in ein ZIP-Archiv verpackt.
Diese Kampagne weist ein hohes Maß an Targeting auf und konzentriert sich auf eine ausgewählte Anzahl von Organisationen. Die Bestätigung ist derzeit auf Unternehmen mit Sitz in Polen beschränkt. Die Kampagne zeichnet sich durch eine starke Unterteilung aus, bei der einige kompromittierte Websites, die als C2s fungieren, nur mit einer begrenzten Anzahl von Proben interagieren. Diese Struktur macht es schwierig, von einer Probe/C2 zu anderen innerhalb derselben Infrastruktur zu wechseln.
Hintertüren ermöglichen es Bedrohungsakteuren, verschiedene bedrohliche Aktivitäten durchzuführen
Geräte, die mit Backdoor-Malware-Bedrohungen infiziert sind, stellen erhebliche Gefahren dar, darunter:
- Unbefugter Zugriff: Hintertüren bieten Cyberkriminellen einen heimlichen Zugangspunkt zu einem Gerät. Nach der Infektion können sich Angreifer unbefugten Zugriff verschaffen und so sensible Daten, persönliche Informationen oder geistiges Eigentum gefährden.
- Datendiebstahl und Spionage: Hintertüren können ausgenutzt werden, um vertrauliche Informationen wie Finanzunterlagen, persönliche Daten oder Geschäftsstrategien auszuschleusen. Diese gesammelten Daten können für Identitätsdiebstahl, Wirtschaftsspionage verwendet oder im Dark Web verkauft werden.
- Dauerhafte Kontrolle: Hintertüren ermöglichen häufig die dauerhafte Kontrolle über ein kompromittiertes Gerät. Angreifer können das Gerät aus der Ferne manipulieren, unsichere Befehle ausführen und den Zugriff über längere Zeiträume ohne Wissen des Benutzers aufrechterhalten.
- Ausbreitung und seitliche Bewegung: Hintertüren können die Verbreitung von Malware innerhalb eines Netzwerks erleichtern, indem sie es Angreifern ermöglichen, sich seitlich von einem Gerät zum anderen zu bewegen. Dies kann zu weit verbreiteten Infektionen führen, was es für Organisationen schwierig macht, die Bedrohung einzudämmen und zu beseitigen.
- Ransomware-Bereitstellung: Hintertüren können als Einstiegspunkt für die Bereitstellung von Ransomware-Verschlüsselungsdateien auf dem infizierten Gerät oder Netzwerk dienen. Anschließend verlangen die Kriminellen ein Lösegeld für den Entschlüsselungsschlüssel, wodurch der normale Betrieb gestört wird und finanzielle Verluste entstehen.
- Kompromittierte Systemintegrität: Hintertüren können die Integrität eines Systems gefährden, indem sie Sicherheitsfunktionen ändern oder deaktivieren. Dies könnte zu einer Reihe von Problemen führen, einschließlich der Unfähigkeit, die Malware zu erkennen oder zu entfernen, wodurch das Gerät für weitere Ausnutzung anfällig wird.
- Angriffe auf die Lieferkette: Hintertüren können während des Lieferkettenprozesses in Software oder Firmware eingeschleust werden. Geräte mit vorinstallierten Hintertüren können an ahnungslose Benutzer verteilt werden und eine erhebliche Bedrohung für Einzelpersonen, Unternehmen und sogar kritische Infrastrukturen darstellen.
Um diese Gefahren zu mindern, ist es für Einzelpersonen und Organisationen von grundlegender Bedeutung, robuste Cybersicherheitsmaßnahmen einzurichten, einschließlich regelmäßiger Software-Updates, Anti-Malware-Lösungen, Netzwerküberwachung und Benutzerschulung zum Erkennen und Vermeiden potenzieller Bedrohungen.
