Търсене
Close this search box.

Руските хакери Turla се насочват към полски неправителствени организации

Свързаният с Русия престъпен конгломерат, известен като Turla, е наблюдаван да използва нова задна врата, наречена TinyTurla-NG, като част от тримесечна кампания, насочена към полски неправителствени организации през декември 2023 г.

„TinyTurla-NG, също като TinyTurla, е малка задна вратичка „последен шанс“, която се оставя, за да се използва, когато всички други механизми за неоторизиран достъп/задна врата са се провалили или са били открити в заразените системи“, се казва в технически доклад на Cisco Talos, публикуван днес.

TinyTurla-NG е наречен така, тъй като проявява сходство с TinyTurla – друг имплант, използван от противниковия колектив при прониквания, насочени към САЩ, Германия и Афганистан поне от 2020 г. насам. TinyTurla е документиран за първи път от компанията за киберсигурност през септември 2021 г.

Turla, известен също с имената Iron Hunter (Железен ловец), Pensive Ursa (Замислена Урса), Secret Blizzard (преди това Krypton), Snake (Змия), Uroburos (Уробурос) и Venomous Bear (Отровна мечка), е свързана с руската държава  заплаха, и по-конкретно  с Федералната служба за сигурност (ФСБ), бивше КГБ.

През последните месеци групата се спря на отбранителния сектор в Украйна и Източна Европа с нова задна врата, базирана на .NET, наречена DeliveryCheck, като същевременно надгради основния си имплант от втора степен, наречен Kazuar, който е пуснала в употреба още през 2017 г.

Последната кампания, включваща TinyTurla-NG, датира от 18 декември 2023 г. и се твърди, че е продължила до 27 януари 2024 г. Въпреки това има подозрения, че дейността всъщност може да е започнала през ноември 2023 г. въз основа на датите на съставяне на зловредния софтуер.

Към момента не е известно как задната врата се разпространява в средите на жертвите, но е установено, че използва компрометирани уебсайтове, базирани на WordPress, като крайни точки за командване и управление (C2), за да извлича и изпълнява инструкции, което му позволява да изпълнява команди чрез PowerShell или Command Prompt (cmd.exe), както и да изтегля/качва файлове.

TinyTurla-NG действа и като канал за предоставяне на PowerShell скриптове, наречени TurlaPower-NG, които са предназначени за екфилтриране на ключов материал, използван за защита на базите данни с пароли на популярни софтуери за управление на пароли под формата на ZIP архив.

Разкритието идва в момент, в който Microsoft и OpenAI докладваха, че национални държавни субекти от Русия проучват генеративни инструменти за изкуствен интелект (ИИ), включително големи езикови модели (LLM) като ChatGPT, за да разбират протоколите за сателитна комуникация, технологиите за радарни изображения и да търсят подкрепа при задачите за създаване на скриптове.

 

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

КНДР се възползва от 2 подт...

Този месец MITRE ще добави две...
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!