Свързаният с Русия участник в заплахата, известен като Turla, е заразил няколко системи, принадлежащи на неназована европейска неправителствена организация (НПО), за да внедри задна врата, наречена TinyTurla-NG.
„Нападателите компрометираха първата система, установиха устойчивост и добавиха изключения към антивирусните продукти, работещи на тези крайни точки, като част от предварителните си действия след компрометирането“, се казва в нов доклад на Cisco Talos, публикуван днес.
„След това Turla отвори допълнителни канали за комуникация чрез Chisel за ексфилтрация на данни и за обръщане към допълнителни достъпни системи в мрежата.“
Съществуват доказателства, които показват, че заразените системи са били пробити още през октомври 2023 г., като Chisel е бил внедрен през декември 2023 г., а ексфилтрирането на данни е станало чрез инструмента месец по-късно, около 12 януари 2024 г.
TinyTurla-NG е документирана за първи път от компанията за киберсигурност миналия месец, след като е установено, че е използвана във връзка с кибератака, насочена срещу полска неправителствена организация, работеща за подобряване на полската демокрация и в подкрепа на Украйна по време на руската инвазия.
Тогава Cisco Talos съобщи на The Hacker News, че кампанията изглежда е силно целенасочена и фокусирана върху малък брой организации, повечето от които се намират в Полша.
Веригата от атаки включва използването на първоначалния достъп на Turla за конфигуриране на антивирусните изключения на Microsoft Defender, за да се избегне откриването и да се пусне TinyTurla-NG, който след това се поддържа чрез създаване на злонамерена услуга „sdm“, която се маскира като услуга „System Device Manager“.
TinyTurla-NG действа като задна врата за провеждане на последващо разузнаване, екфилтриране на файлове от интерес към сървър за командване и контрол (C2) и разгръщане на специално създадена версия на софтуера за тунелиране Chisel. Точният път на проникване все още се разследва.
„След като нападателите получат достъп до нова кутия, те ще повторят действията си, за да създадат изключения от Microsoft Defender, да пуснат компонентите на зловредния софтуер и да създадат устойчивост“, казват изследователите от Talos.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.