Rus Turla Hackerları Yeni TinyTurla-NG Arka Kapısı ile Polonyalı STK'ları Hedef Aldı

Cisco Talos, bugün yayınlanan bir teknik raporda, "TinyTurla-NG, tıpkı TinyTurla gibi, diğer tüm yetkisiz erişim/arka kapı mekanizmaları başarısız olduğunda veya virüslü sistemlerde tespit edildiğinde kullanılmak üzere geride bırakılan küçük bir 'son şans' arka kapısıdır" dedi.

TinyTurla-NG, en az 2020'den beri ABD, Almanya ve Afganistan'ı hedef alan saldırılarda düşman kolektif tarafından kullanılan başka bir implant olan TinyTurla ile benzerlikler sergilediği için bu şekilde adlandırılmıştır. TinyTurla ilk olarak Eylül 2021'de siber güvenlik şirketi tarafından belgelendi.

Iron Hunter, Dalgın Ursa, Secret Blizzard (eski adıyla Krypton), Snake, Uroburos ve Venomous Bear adlarıyla da bilinen Turla, Federal Güvenlik Servisi'ne (FSB) bağlı Rus devletine bağlı bir tehdit aktörüdür.

Son aylarda tehdit aktörü, Ukrayna ve Doğu Avrupa'daki savunma sektörünü bir romanla seçti. DeliveryCheck adlı NET tabanlı arka kapı, aynı zamanda 2017 gibi erken bir tarihte kullanıma sunduğu Kazuar olarak adlandırılan temel ikinci aşama implantını da yükseltti.

TinyTurla-NG'nin dahil olduğu son kampanya 18 Aralık 2023'e kadar uzanıyor ve 27 Ocak 2024'e kadar devam ettiği söyleniyor. Ancak, kötü amaçlı yazılım derleme tarihlerine göre etkinliğin aslında Kasım 2023'te başlamış olabileceğinden şüpheleniliyor.

Şu anda arka kapının kurban ortamlarına nasıl dağıtıldığı bilinmemektedir, ancak talimatları almak ve yürütmek için güvenliği ihlal edilmiş WordPress tabanlı web sitelerini komut ve kontrol (C2) uç noktaları olarak kullandığı ve PowerShell veya Komut İstemi (cmd.exe) aracılığıyla komutları çalıştırmasını ve dosya indirmesini/yüklemesini sağladığı bulunmuştur.

TinyTurla-NG ayrıca, popüler parola yönetimi yazılımlarının parola veritabanlarını bir ZIP arşivi biçiminde güvence altına almak için kullanılan anahtar materyali sızdırmak üzere tasarlanmış TurlaPower-NG adlı PowerShell komut dosyalarını sunmak için bir kanal görevi görür.

Bir Cisco Talos araştırmacısının verdiği demeçte, "Bu kampanya son derece hedefli görünüyor ve şimdiye kadar yalnızca Polonya merkezli olanları doğrulayabildiğimiz az sayıda kuruluşa odaklanmış gibi görünüyor" dedi ve değerlendirmenin mevcut görünürlüğe dayandığını belirtti.

"Bu kampanya son derece bölümlere ayrılmış, C2 olarak hareket eden güvenliği ihlal edilmiş birkaç web sitesi birkaç örnekle iletişim kuruyor, bu da bize ilişkili olduklarına dair güven verecek aynı altyapıyı kullanarak bir örnek/C2'den diğerlerine dönmenin kolay olmadığı anlamına geliyor."

Açıklama, Microsoft ve OpenAI'nin Rusya'daki ulus devlet aktörlerinin uydu iletişim protokollerini, radar görüntüleme teknolojilerini anlamak ve komut dosyası oluşturma görevlerinde destek aramak için ChatGPT gibi büyük dil modelleri (LLM'ler) dahil olmak üzere üretken yapay zeka (AI) araçlarını araştırdığını açıklamasının ardından geldi.

TinyTurla-NG Emerge Hakkında Ek Ayrıntılar

Cisco Talos, 22 Şubat 2023'te yayınlanan bir takip raporunda, TinyTurla-NG arka kapısının, kimlik bilgisi toplama komut dosyaları ve yükseltilmiş süreç yürütme araçlarının yanı sıra Keski tünelleme yazılımının değiştirilmiş bir sürümünü sunmak için kullanıldığını gözlemlediğini söyledi.

Şirket, "Saldırganlar, virüslü uç noktalardaki ilgili dosyaları numaralandırmak için ek keşif yapmak için TinyTurla-NG'yi kullanıyor ve ardından bu dosyaları [TurlaPower-NG kullanarak] sızdırıyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği