Rus Hackerlar, Avrupalı STK'ların Sistemlerini İhlal Etmek İçin TinyTurla-NG Kullanıyor
Turla olarak bilinen Rusya bağlantılı tehdit aktörü, TinyTurla-NG (TTNG) adlı bir arka kapıyı dağıtmak için adı açıklanmayan bir Avrupa sivil toplum kuruluşuna (STK) ait birkaç sisteme bulaştı.
Cisco Talos, bugün yayınlanan yeni bir raporda, "Saldırganlar ilk sistemi tehlikeye attılar, kalıcılık sağladılar ve bu uç noktalarda çalışan antivirüs ürünlerine güvenlik sonrası ön eylemlerinin bir parçası olarak istisnalar eklediler" dedi.
"Turla daha sonra veri sızdırmak ve ağdaki ek erişilebilir sistemlere yönelmek için Chisel aracılığıyla ek iletişim kanalları açtı."
Virüslü sistemlerin Ekim 2023 gibi erken bir tarihte ihlal edildiğini, Chisel'in Aralık 2023'te devreye alındığını ve bir ay sonra, 12 Ocak 2024 civarında araç aracılığıyla veri hırsızlığının gerçekleştiğini gösteren kanıtlar var.
TinyTurla-NG, Polonya demokrasisini geliştirmek ve Rus işgali sırasında Ukrayna'yı desteklemek için çalışan Polonyalı bir STK'yı hedef alan bir siber saldırıyla bağlantılı olarak kullanıldığı tespit edildikten sonra siber güvenlik şirketi tarafından ilk olarak geçen ay belgelendi.
Cisco Talos, verdiği bir demeçte, kampanyanın son derece hedefli göründüğünü ve çoğu Polonya'da bulunan az sayıda kuruluşa odaklandığını söyledi.
Saldırı zinciri, Turla'nın algılamadan kaçınmak ve TinyTurla-NG'yi bırakmak için Microsoft Defender virüsten koruma dışlamalarını yapılandırmak için ilk erişimlerinden yararlanmasını içerir ve bu, daha sonra bir "Sistem Aygıt Yöneticisi" hizmeti gibi görünen kötü amaçlı bir "sdm" hizmeti oluşturarak kalıcı hale getirilir.
TinyTurla-NG, takip eden keşif yapmak, ilgilenilen dosyaları bir komuta ve kontrol (C2) sunucusuna sızdırmak ve Keski tünelleme yazılımının özel olarak oluşturulmuş bir sürümünü dağıtmak için bir arka kapı görevi görür. Kesin izinsiz giriş yolu hala araştırılmaktadır.
Talos araştırmacıları, "Saldırganlar yeni bir kutuya erişim sağladıktan sonra, Microsoft Defender dışlamaları oluşturmak, kötü amaçlı yazılım bileşenlerini bırakmak ve kalıcılık oluşturmak için etkinliklerini tekrarlayacaklar" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı