Siber Muhbir

Cisco Talos, bugün yayınlanan yeni bir raporda, "Saldırganlar ilk sistemi tehlikeye attılar, kalıcılık sağladılar ve bu uç noktalarda çalışan antivirüs ürünlerine güvenlik sonrası ön eylemlerinin bir parçası olarak istisnalar eklediler" dedi.

"Turla daha sonra veri sızdırmak ve ağdaki ek erişilebilir sistemlere yönelmek için Chisel aracılığıyla ek iletişim kanalları açtı."

Virüslü sistemlerin Ekim 2023 gibi erken bir tarihte ihlal edildiğini, Chisel'in Aralık 2023'te devreye alındığını ve bir ay sonra, 12 Ocak 2024 civarında araç aracılığıyla veri hırsızlığının gerçekleştiğini gösteren kanıtlar var.

TinyTurla-NG, Polonya demokrasisini geliştirmek ve Rus işgali sırasında Ukrayna'yı desteklemek için çalışan Polonyalı bir STK'yı hedef alan bir siber saldırıyla bağlantılı olarak kullanıldığı tespit edildikten sonra siber güvenlik şirketi tarafından ilk olarak geçen ay belgelendi.

Cisco Talos, verdiği bir demeçte, kampanyanın son derece hedefli göründüğünü ve çoğu Polonya'da bulunan az sayıda kuruluşa odaklandığını söyledi.

Saldırı zinciri, Turla'nın algılamadan kaçınmak ve TinyTurla-NG'yi bırakmak için Microsoft Defender virüsten koruma dışlamalarını yapılandırmak için ilk erişimlerinden yararlanmasını içerir ve bu, daha sonra bir "Sistem Aygıt Yöneticisi" hizmeti gibi görünen kötü amaçlı bir "sdm" hizmeti oluşturarak kalıcı hale getirilir.

TinyTurla-NG, takip eden keşif yapmak, ilgilenilen dosyaları bir komuta ve kontrol (C2) sunucusuna sızdırmak ve Keski tünelleme yazılımının özel olarak oluşturulmuş bir sürümünü dağıtmak için bir arka kapı görevi görür. Kesin izinsiz giriş yolu hala araştırılmaktadır.

Talos araştırmacıları, "Saldırganlar yeni bir kutuya erişim sağladıktan sonra, Microsoft Defender dışlamaları oluşturmak, kötü amaçlı yazılım bileşenlerini bırakmak ve kalıcılık oluşturmak için etkinliklerini tekrarlayacaklar" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.