国が後援するTurlaAPTマルウェアであるTinyTurlaBackdoorが、ドイツと米国を襲う
Turla Advanced Persistent Threat(APT)グループは、引き続き最も悪名高い、国が後援するロシアのハッカーの1人です。彼らは10年近くハッキングシーンで活躍しており、アプローチと武器を絶えず進化させています。彼らが使用するハッキングツールへの最新の追加の1つは、Turlaバックドアの作り直しです。ただし、新しい脅威では一部の機能が遮断されているため、TinyTurlaバックドアと呼ばれています。機能がわずかに制限されているにもかかわらず、ハッカーに侵入システムへの長期アクセスを提供する可能性があるのは、依然として非常に危険な脅威です。
現在のTinyTurlaBackdoorキャンペーンは、ハッキングされたマシンで永続性を取得し、インプラントを使用して2次ペイロードを配信することに重点を置いているようです。 TinyTurla Backdoorの単純なコーディングスタイルと制限された機能により、しばらくの間レーダーの下にとどまり、いくつかのセキュリティ対策を回避することができました。ただし、最近では、ウイルス対策ソフトウェアが簡単にそれをキャッチするので安心できます。
現在、TinyTurla Backdoorのアクティブなインスタンスは、ドイツと米国で確認されています。ただし、Turlaハッカーが他の地域も追いかけている可能性が非常に高いです。このバックドアのコードと他のTurlaインプラントの類似性だけが、グループがこのプロジェクトの背後にいると信じる理由ではありません。同じネットワークインフラストラクチャも使用しています。
TinyTurlaバックドアは何をしますか?
TinyTurlaバックドアの機能は制限されていますが、それでも多くの問題を引き起こす可能性があります。このインプラントが実行できるコマンドのいくつかは次のとおりです。
- インプラントにアクセスしようとしているユーザーを認証します。おそらく、アナリストがインプラントを制御および分析しようとするのを防ぐためです。
- リモートコマンド/ファイルを実行してから、出力をコマンドアンドコントロール(C&C)サーバーに記録します。
- ファイルをダウンロードまたはアップロードします。
- 認証パスワードとC&Cサーバーを切り替えます。
これまでのところ、Turlaハッカーがこのバックドアを配信するために使用する感染ベクトルは明確ではありません。ただし、インプラントのアクティブコピーは、Windows TimeServiceに関連するDLLを偽装として使用していました。悪意のあるファイルが正当なソフトウェアパッケージまたはそれらが使用するファイルを模倣しようとすることは珍しいことではありません。
Turla APTの活動は、2014年以来マルウェア研究者の焦点となっています。しかし、サイバーセキュリティ研究者は、国が後援するグループの活動は2000年代にさかのぼることができると考えています。