< p class="meta"> Di Charlie Osborne per Zero Day | 21 settembre 2021 — 12:00 GMT (13:00 BST) | Argomento: sicurezza
Il gruppo di hacker Turla è tornato con nuove armi, recentemente utilizzate negli attacchi contro Stati Uniti, Germania e Afghanistan.
Martedì, Cisco Talos ha affermato che il gruppo Advanced Persistent Threat (APT), di origine russa, ha sviluppato una nuova backdoor per la persistenza e l'invisibilità.
Soprannominata TinyTurla, la backdoor precedentemente sconosciuta è semplice nel design ma adatta a scopi particolari: eliminare i payload e rimanere sotto il radar se il malware principale di Turla viene cancellato da una macchina compromessa.
Attivo almeno dal 2004, Turla, noto anche come Snake e Uroburos, è un'operazione sofisticata con una lunga lista di vittime di alto profilo nel suo portafoglio. Gli obiettivi passati includono il Pentagono, agenzie governative e diplomatiche, gruppi militari, istituti di ricerca e altro in almeno 45 paesi.
Ora, sembra che l'APT si stia concentrando sugli Stati Uniti, la Germania e anche l'Afghanistan, quest'ultimo preso di mira prima che i talebani prendessero il controllo del paese e le forze militari occidentali si ritirassero.
Talos afferma che è probabile che il malware sia stato utilizzato nel tentativo di compromettere i sistemi del governo precedente.
Un campione acquisito dal team ha rivelato che la backdoor, che è formata come .DLL, è stata installata come servizio su una macchina Windows. Il file è denominato w64time.dll e, poiché esiste un legittimo Windows w32time.dll, potrebbe non sembrare immediatamente dannoso.
Denominata “Windows Time Service”, la backdoor si collega a un server di comando e controllo (C2) controllato da Turla e contatta il sistema tramite un canale HTTPS crittografato ogni cinque secondi per verificare eventuali nuovi comandi o istruzioni.
TinyTurla è in grado di caricare ed eseguire file e payload, creare sottoprocessi ed estrarre dati. È possibile che la backdoor sia stata intenzionalmente limitata nella sua funzionalità e nel codice, per impedire il rilevamento come software dannoso.
Talos afferma che la backdoor è in uso almeno dal 2020.
“Un motivo pubblico per cui abbiamo attribuito questa backdoor a Turla è il fatto che hanno utilizzato la stessa infrastruttura utilizzata per altri attacchi che sono stati chiaramente attribuiti alla loro infrastruttura Penguin Turla”, affermano i ricercatori. “Spesso è difficile per un amministratore verificare che tutti i servizi in esecuzione siano legittimi. È importante disporre di software e/o sistemi automatizzati che rilevano servizi in esecuzione sconosciuti e un team di professionisti qualificati in grado di eseguire analisi forensi adeguate su sistemi potenzialmente infetti”.
Recentemente, i ricercatori di Kaspersky hanno scoperto sovrapposizioni di codice tra Turla, DarkHalo/UNC2452 APT, la backdoor Sunburst e la backdoor Kazuar. Sebbene ci siano funzionalità condivise tra Sunburst e Kazuar, non è possibile concludere con certezza alcun collegamento concreto tra i gruppi di minacce e questi strumenti.
Copertura precedente e correlata
Il gruppo di hacker Turla ruba i registri antivirus per vedere se il suo malware è stato rilevato
La campagna di spionaggio informatico apre una backdoor per rubare documenti dai PC infetti
US Cyber Command espone nuovo malware russo
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 