< p class = "meta"> Av Charlie Osborne for Zero Day | 21. september 2021 – 12:00 GMT (13:00 BST) | Tema: Sikkerhet
Turla -hackergruppen er tilbake med nytt våpen, nylig brukt i angrep mot USA, Tyskland og Afghanistan.
Tirsdag sa Cisco Talos at gruppen avansert vedvarende trussel (APT), russisk opprinnelse, har utviklet en ny bakdør for utholdenhet og stealth.
TinyTurla, den tidligere ukjente bakdøren er enkel i utformingen, men egnet for spesielle formål: å slippe nyttelast og holde seg under radaren hvis Turlas primære skadelige programvare blir slettet fra en kompromittert maskin.
Aktiv siden minst 2004, Turla, også kjent som Snake and Uroburos, er en sofistikert operasjon med en lang liste med høyprofilerte ofre i sin portefølje. Tidligere mål inkluderer Pentagon, myndigheter og diplomatiske byråer, militære grupper, forskningsinstitusjoner og mer i minst 45 land.
Nå ser det ut til at APT finjusterer USA, Tyskland og Afghanistan – sistnevnte ble målrettet før Taliban overtok landet og vestlige militære styrker trakk seg ut.
Talos sier at det er sannsynlig at skadelig programvare ble brukt i forsøk på å kompromittere systemene til den forrige regjeringen.
En prøve hentet av teamet avslørte at bakdøren, som er dannet som en .DLL, ble installert som en tjeneste på en Windows -maskin. Filen heter w64time.dll, og siden det er en legitim Windows w32time.dll, ser det ikke ut til at den umiddelbart er skadelig.
Navnet “Windows Time Service”, bakdøren kobler til en kommando-og-kontroll (C2) -server kontrollert av Turla og kontakter systemet via en kryptert HTTPS-kanal hvert femte sekund for å se etter nye kommandoer eller instruksjoner.
TinyTurla er i stand til å laste opp og enten kjøre filer og nyttelast, lage delprosesser og eksfiltrere data. Det kan være at bakdøren var begrenset i funksjonalitet og kode med vilje, for å forhindre deteksjon som skadelig programvare.
Talos sier at bakdøren har vært i bruk siden minst 2020.
“En offentlig grunn til at vi tilskrev denne bakdøren til Turla er det faktum at de brukte den samme infrastrukturen som de brukte for andre angrep som tydelig har blitt tilskrevet deres Penguin Turla Infrastructure,” sier forskerne. “Det er ofte vanskelig for en administrator å verifisere at alle kjørende tjenester er legitime. Det er viktig å ha programvare og/eller automatiserte systemer som oppdager ukjente driftstjenester og et team av dyktige fagfolk som kan utføre riktig rettsmedisinsk analyse på potensielt infiserte systemer.”
Nylig fant Kaspersky -forskere kodeoverlappinger mellom Turla, DarkHalo/UNC2452 APT, Sunburst -bakdøren og Kazuar -bakdøren. Selv om det er delte funksjoner mellom Sunburst og Kazuar, er det ikke mulig å konkludere med noen konkrete koblinger mellom trusselgruppene og disse verktøyene.
Tidligere og relatert dekning
Turla-hackergruppe stjeler antiviruslogger for å se om skadelig programvare ble oppdaget
Cyber-spionasje-kampanje åpner bakdør for å stjele dokumenter fra infiserte PCer
US Cyber Command avslører ny russisk skadelig programvare
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 