Търсене
Close this search box.

Руските хакери използват TinyTurla-NG, за да проникнат в системите на европейски НПО

Свързаният с Русия участник в заплахата, известен като Turla, е заразил няколко системи, принадлежащи на неназована европейска неправителствена организация (НПО), за да внедри задна врата, наречена TinyTurla-NG.

„Нападателите компрометираха първата система, установиха устойчивост и добавиха изключения към антивирусните продукти, работещи на тези крайни точки, като част от предварителните си действия след компрометирането“, се казва в нов доклад на Cisco Talos, публикуван днес.

„След това Turla отвори допълнителни канали за комуникация чрез Chisel за ексфилтрация на данни и за обръщане към допълнителни достъпни системи в мрежата.“

Съществуват доказателства, които показват, че заразените системи са били пробити още през октомври 2023 г., като Chisel е бил внедрен през декември 2023 г., а ексфилтрирането на данни е станало чрез инструмента месец по-късно, около 12 януари 2024 г.

TinyTurla-NG е документирана за първи път от компанията за киберсигурност миналия месец, след като е установено, че е използвана във връзка с кибератака, насочена срещу полска неправителствена организация, работеща за подобряване на полската демокрация и в подкрепа на Украйна по време на руската инвазия.

Тогава Cisco Talos съобщи на The Hacker News, че кампанията изглежда е силно целенасочена и фокусирана върху малък брой организации, повечето от които се намират в Полша.

Russia Hackers
Веригата от атаки включва използването на първоначалния достъп на Turla за конфигуриране на антивирусните изключения на Microsoft Defender, за да се избегне откриването и да се пусне TinyTurla-NG, който след това се поддържа чрез създаване на злонамерена услуга „sdm“, която се маскира като услуга „System Device Manager“.

TinyTurla-NG действа като задна врата за провеждане на последващо разузнаване, екфилтриране на файлове от интерес към сървър за командване и контрол (C2) и разгръщане на специално създадена версия на софтуера за тунелиране Chisel. Точният път на проникване все още се разследва.

„След като нападателите получат достъп до нова кутия, те ще повторят действията си, за да създадат изключения от Microsoft Defender, да пуснат компонентите на зловредния софтуер и да създадат устойчивост“, казват изследователите от Talos.

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

КНДР се възползва от 2 подт...

Този месец MITRE ще добави две...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!