Свързаният с Русия участник в заплахата, известен като Turla, е заразил няколко системи, принадлежащи на неназована европейска неправителствена организация (НПО), за да внедри задна врата, наречена TinyTurla-NG.

„Нападателите компрометираха първата система, установиха устойчивост и добавиха изключения към антивирусните продукти, работещи на тези крайни точки, като част от предварителните си действия след компрометирането“, се казва в нов доклад на Cisco Talos, публикуван днес.

„След това Turla отвори допълнителни канали за комуникация чрез Chisel за ексфилтрация на данни и за обръщане към допълнителни достъпни системи в мрежата.“

Съществуват доказателства, които показват, че заразените системи са били пробити още през октомври 2023 г., като Chisel е бил внедрен през декември 2023 г., а ексфилтрирането на данни е станало чрез инструмента месец по-късно, около 12 януари 2024 г.

TinyTurla-NG е документирана за първи път от компанията за киберсигурност миналия месец, след като е установено, че е използвана във връзка с кибератака, насочена срещу полска неправителствена организация, работеща за подобряване на полската демокрация и в подкрепа на Украйна по време на руската инвазия.

Тогава Cisco Talos съобщи на The Hacker News, че кампанията изглежда е силно целенасочена и фокусирана върху малък брой организации, повечето от които се намират в Полша.

Russia Hackers
Веригата от атаки включва използването на първоначалния достъп на Turla за конфигуриране на антивирусните изключения на Microsoft Defender, за да се избегне откриването и да се пусне TinyTurla-NG, който след това се поддържа чрез създаване на злонамерена услуга „sdm“, която се маскира като услуга „System Device Manager“.

TinyTurla-NG действа като задна врата за провеждане на последващо разузнаване, екфилтриране на файлове от интерес към сървър за командване и контрол (C2) и разгръщане на специално създадена версия на софтуера за тунелиране Chisel. Точният път на проникване все още се разследва.

„След като нападателите получат достъп до нова кутия, те ще повторят действията си, за да създадат изключения от Microsoft Defender, да пуснат компонентите на зловредния софтуер и да създадат устойчивост“, казват изследователите от Talos.

Източник: The Hacker News

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
11 февруари 2025

Lee Enterprises се възстановява от кибератака

Вестникарската компания очаква разследването да отнеме известно вре...
Бъдете социални
Още по темата
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
06/02/2025

Руските хакери са използвал...

Руски групи за заплахи са провеждали...
06/02/2025

Блокбъстъра DeepSeek е свър...

Уебсайтът на китайската компания за изкуствен...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!