TinyTurla Backdoor, um Malware Turla APT patrocinado pelo estado, que atinge a Alemanha e os EUA

O grupo Turla Advanced Persistent Threat (APT) continua a ser um dos mais notórios hackers russos patrocinados pelo estado. Eles estão ativos na cena do hacking há quase uma década e estão constantemente evoluindo suas abordagens e arsenal. Uma das últimas adições às ferramentas de hacking que eles usam é um retrabalho da porta dos fundos do Turla. A nova ameaça, no entanto, teve alguns de seus recursos cortados - daí o nome de TinyTurla Backdoor. Apesar da funcionalidade ligeiramente limitada, ainda é uma ameaça muito perigosa que pode fornecer aos hackers acesso de longo prazo ao sistema infiltrado.

Parece que a campanha atual do TinyTurla Backdoor se concentra em adquirir persistência na máquina hackeada e, em seguida, usar o implante para entregar uma carga útil secundária. O estilo de codificação simplista e a funcionalidade limitada do TinyTurla Backdoor permitiram que ele ficasse sob o radar por um tempo, evitando algumas medidas de segurança. No entanto, você pode ter certeza de que hoje em dia o software antivírus o detectará com facilidade.

Atualmente, instâncias ativas do TinyTurla Backdoor foram identificadas na Alemanha e nos Estados Unidos. No entanto, é muito provável que os hackers de Turla também tenham perseguido outras regiões. Semelhanças entre o código deste backdoor e outros implantes Turla não são a única razão para acreditar que o grupo está por trás deste projeto - eles também usam a mesma infraestrutura de rede.

O que o TinyTurla Backdoor faz?

Os recursos do TinyTurla Backdoor, embora limitados, ainda podem causar muitos problemas. Alguns dos comandos que este implante pode executar são:

  • Autentique o usuário que está tentando acessar o implante - provavelmente para evitar que analistas tentem controlar e analisar o implante.
  • Execute comandos / arquivos remotos e, em seguida, registre a saída no servidor de comando e controle (C&C).
  • Baixe ou envie arquivos.
  • Troque a senha de autenticação, bem como o servidor C&C.

Até agora, o vetor de infecção que os hackers do Turla usam para entregar esse backdoor não está claro. No entanto, as cópias ativas do implante estavam usando uma DLL relacionada ao Windows Time Service como um disfarce. Não é incomum que arquivos maliciosos tentem imitar pacotes de software legítimos ou arquivos que eles usam.

A atividade do Turla APT tem sido o foco de pesquisadores de malware desde 2014. No entanto, os pesquisadores de segurança cibernética acreditam que a atividade do grupo patrocinado pelo estado pode ser rastreada até os anos 2000.

September 23, 2021
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.