TinyTurla Backdoor, спонсируемая государством вредоносная программа Turla APT, поражает Германию и США

Группа Turla Advanced Persistent Threat (APT) продолжает оставаться одним из самых известных российских хакеров, спонсируемых государством. Они были активны на хакерской сцене почти десять лет, и они постоянно развивают свои подходы и арсенал. Одно из последних дополнений к используемым ими хакерским инструментам - это переработанный бэкдор Turla. Однако у новой угрозы были отключены некоторые функции, поэтому она и получила название TinyTurla Backdoor. Несмотря на несколько ограниченную функциональность, это все еще очень опасная угроза, которая может предоставить хакерам долгосрочный доступ к зараженной системе.

Похоже, что текущая кампания TinyTurla Backdoor фокусируется на приобретении стойкости на взломанной машине, а затем использовании имплантата для доставки вторичной полезной нагрузки. Упрощенный стиль кодирования и ограниченная функциональность TinyTurla Backdoor позволили ему какое-то время оставаться незамеченным, избегая некоторых мер безопасности. Однако вы можете быть уверены, что в настоящее время антивирусное программное обеспечение с легкостью отлавливает это.

В настоящее время активные экземпляры бэкдора TinyTurla обнаружены в Германии и США. Однако весьма вероятно, что хакеры Turla преследовали и другие регионы. Сходство между кодом этого бэкдора и других имплантатов Turla - не единственная причина полагать, что за этим проектом стоит группа - они также используют одну и ту же сетевую инфраструктуру.

Что делает бэкдор TinyTurla?

Возможности TinyTurla Backdoor, хотя и ограничены, все же могут вызвать много проблем. Вот некоторые из команд, которые может выполнять этот имплант:

  • Аутентифицировать пользователя, пытающегося получить доступ к имплантату - возможно, чтобы аналитики не пытались контролировать и анализировать имплант.
  • Выполнять удаленные команды / файлы, а затем записывать вывод на командный и управляющий (C&C) сервер.
  • Скачайте или загрузите файлы.
  • Смените пароль аутентификации, а также C&C сервер.

Пока неясен вектор заражения, который хакеры Turla используют для доставки этого бэкдора. Однако активные копии имплантата для маскировки использовали DLL, относящуюся к службе времени Windows. Нередко вредоносные файлы пытаются имитировать легитимные программные пакеты или файлы, которые они используют.

Активность Turla APT находится в центре внимания исследователей вредоносных программ с 2014 года. Однако исследователи кибербезопасности считают, что деятельность спонсируемой государством группы может быть прослежена до 2000-х годов.

September 23, 2021
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.