Rus Turla Hackerları Yeni TinyTurla-NG Arka Kapısı ile Polonyalı STK'ları Hedef Aldı
Turla olarak bilinen Rusya bağlantılı tehdit aktörünün, Aralık 2023'te Polonyalı sivil toplum kuruluşlarını hedef alan üç aylık bir kampanyanın parçası olarak TinyTurla-NG adlı yeni bir arka kapı kullandığı gözlemlendi.
Cisco Talos, bugün yayınlanan bir teknik raporda, "TinyTurla-NG, tıpkı TinyTurla gibi, diğer tüm yetkisiz erişim/arka kapı mekanizmaları başarısız olduğunda veya virüslü sistemlerde tespit edildiğinde kullanılmak üzere geride bırakılan küçük bir 'son şans' arka kapısıdır" dedi.
TinyTurla-NG, en az 2020'den beri ABD, Almanya ve Afganistan'ı hedef alan saldırılarda düşman kolektif tarafından kullanılan başka bir implant olan TinyTurla ile benzerlikler sergilediği için bu şekilde adlandırılmıştır. TinyTurla ilk olarak Eylül 2021'de siber güvenlik şirketi tarafından belgelendi.
Iron Hunter, Dalgın Ursa, Secret Blizzard (eski adıyla Krypton), Snake, Uroburos ve Venomous Bear adlarıyla da bilinen Turla, Federal Güvenlik Servisi'ne (FSB) bağlı Rus devletine bağlı bir tehdit aktörüdür.
Son aylarda tehdit aktörü, Ukrayna ve Doğu Avrupa'daki savunma sektörünü bir romanla seçti. DeliveryCheck adlı NET tabanlı arka kapı, aynı zamanda 2017 gibi erken bir tarihte kullanıma sunduğu Kazuar olarak adlandırılan temel ikinci aşama implantını da yükseltti.
TinyTurla-NG'nin dahil olduğu son kampanya 18 Aralık 2023'e kadar uzanıyor ve 27 Ocak 2024'e kadar devam ettiği söyleniyor. Ancak, kötü amaçlı yazılım derleme tarihlerine göre etkinliğin aslında Kasım 2023'te başlamış olabileceğinden şüpheleniliyor.
Şu anda arka kapının kurban ortamlarına nasıl dağıtıldığı bilinmemektedir, ancak talimatları almak ve yürütmek için güvenliği ihlal edilmiş WordPress tabanlı web sitelerini komut ve kontrol (C2) uç noktaları olarak kullandığı ve PowerShell veya Komut İstemi (cmd.exe) aracılığıyla komutları çalıştırmasını ve dosya indirmesini/yüklemesini sağladığı bulunmuştur.
TinyTurla-NG ayrıca, popüler parola yönetimi yazılımlarının parola veritabanlarını bir ZIP arşivi biçiminde güvence altına almak için kullanılan anahtar materyali sızdırmak üzere tasarlanmış TurlaPower-NG adlı PowerShell komut dosyalarını sunmak için bir kanal görevi görür.
Bir Cisco Talos araştırmacısının verdiği demeçte, "Bu kampanya son derece hedefli görünüyor ve şimdiye kadar yalnızca Polonya merkezli olanları doğrulayabildiğimiz az sayıda kuruluşa odaklanmış gibi görünüyor" dedi ve değerlendirmenin mevcut görünürlüğe dayandığını belirtti.
"Bu kampanya son derece bölümlere ayrılmış, C2 olarak hareket eden güvenliği ihlal edilmiş birkaç web sitesi birkaç örnekle iletişim kuruyor, bu da bize ilişkili olduklarına dair güven verecek aynı altyapıyı kullanarak bir örnek/C2'den diğerlerine dönmenin kolay olmadığı anlamına geliyor."
Açıklama, Microsoft ve OpenAI'nin Rusya'daki ulus devlet aktörlerinin uydu iletişim protokollerini, radar görüntüleme teknolojilerini anlamak ve komut dosyası oluşturma görevlerinde destek aramak için ChatGPT gibi büyük dil modelleri (LLM'ler) dahil olmak üzere üretken yapay zeka (AI) araçlarını araştırdığını açıklamasının ardından geldi.
TinyTurla-NG Emerge Hakkında Ek Ayrıntılar
Cisco Talos, 22 Şubat 2023'te yayınlanan bir takip raporunda, TinyTurla-NG arka kapısının, kimlik bilgisi toplama komut dosyaları ve yükseltilmiş süreç yürütme araçlarının yanı sıra Keski tünelleme yazılımının değiştirilmiş bir sürümünü sunmak için kullanıldığını gözlemlediğini söyledi.
Şirket, "Saldırganlar, virüslü uç noktalardaki ilgili dosyaları numaralandırmak için ek keşif yapmak için TinyTurla-NG'yi kullanıyor ve ardından bu dosyaları [TurlaPower-NG kullanarak] sızdırıyor" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı