Ερευνητές ασφαλείας εντόπισαν νέο backdoor malware, το οποίο ονομάζεται TinyTurla-NG και χρησιμοποιείται από τους Ρώσους hackers Turla. Το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να διατηρούν την πρόσβαση στο δίκτυο ενός στόχου και να κλέψουν ευαίσθητα δεδομένα.
Στις πρόσφατες κακόβουλες καμπάνιες, οι επιτιθέμενοι χρησιμοποίησαν πολλούς ιστότοπους με ευάλωτες εκδόσεις του WordPress για command and control (C2) σκοπούς και για να φιλοξενήσουν κακόβουλα PowerShell scripts.
Οι Ρώσοι hackers Turla, στους οποίους αποδίδεται η χρήση του νέου malware, είναι μια ομάδα κυβερνοκατασκοπείας που δραστηριοποιείται τουλάχιστον από το 2004 και συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB) της Ρωσίας.
Δείτε επίσης: Το DSLog backdoor εγκαθίσταται μέσω ευπάθειας SSRF στο Ivanti
Η ομάδα στοχεύει διάφορους τομείς, συμπεριλαμβανομένης της κυβέρνησης, του στρατού, της εκπαίδευσης, της έρευνας, της φαρμακοβιομηχανία κ.ά.
Ευάλωτα WordPress sites για command and control σκοπούς
Οι ερευνητές ασφαλείας της Cisco Talos ανακάλυψαν το TinyTurla-NG malware, ενώ ερευνούσαν μια παραβίαση (σε συνεργασία με την CERT.NGO) σε πολωνική μη κυβερνητική οργάνωση που υποστηρίζει την Ουκρανία έναντι της Ρωσίας.
Το κακόβουλο λογισμικό στόχευσε τη ΜΚΟ από τον περασμένο Δεκέμβριο και ανέπτυξε τα TurlaPower-NG PowerShell scripts για να κλέψει master passwords για δημοφιλές λογισμικό διαχείρισης κωδικών πρόσβασης.
Σύμφωνα με τους ερευνητές, το TinyTurla-NG malware στοχεύει πολλές ΜΚΟ στην Πολωνία.
Οι διακομιστές C2 που χρησιμοποιούνται στην καμπάνια TinyTurla-NG είναι νόμιμοι αλλά ευάλωτοι ιστότοποι WordPress, τους οποίους οι Ρώσοι hackers παραβιάζουν για να ρυθμίσουν scripts και να κάνουν άλλα πράγματα που είναι απαραίτητα για την επικοινωνία με το implant και την αποθήκευση κλεμμένων δεδομένων.
Το κακόβουλο λογισμικό TinyTurla-NG λειτουργεί ως backdoor και σκοπός του είναι να δώσει πρόσβαση στο παραβιασμένο σύστημα.
Δείτε επίσης: RustDoor: Νέο backdoor στοχεύει macOS συστήματα
Οι ερευνητές της Cisco Talos εξηγούν σε μια έκθεση ότι το TinyTurla-NG malware είναι μια υπηρεσία DLL που ξεκίνησε μέσω του svchost.exe και οι δυνατότητες του κακόβουλου λογισμικού διανέμονται μέσω διαφόρων νημάτων.
Χρησιμοποιώντας εντολές που είναι αποθηκευμένες σε παραβιασμένους ιστότοπους με μια παλιά έκδοση του WordPress, οι hackers ελέγχουν το TinyTurla-NG με τις ακόλουθες εντολές: timeout, changeshell, changepoint, get, post και killme.
Η εξαγωγή δεδομένων πραγματοποιείται χρησιμοποιώντας κακόβουλα PowerShell scripts. Τα στοχευμένα δεδομένα είναι κωδικοί πρόσβασης που ξεκλειδώνουν λογισμικό διαχείρισης κωδικών πρόσβασης ή βάσεις δεδομένων.
Υπάρχουν τουλάχιστον τρεις παραλλαγές του TinyTurla-NG backdoor, αλλά οι ερευνητές μπορούσαν να έχουν πρόσβαση μόνο σε δύο από αυτές.
Δείτε επίσης: Turla hackers: Νέα πιο επικίνδυνη έκδοση του Kazuar backdoor
Προστασία
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το TinyTurla-NG, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων TinyTurla-NG.
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, οι οργανισμοί πρέπει να εφαρμόζουν την αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: www.bleepingcomputer.com