TinyTurla Backdoor, спонсируемая государством вредоносная программа Turla APT, поражает Германию и США
Группа Turla Advanced Persistent Threat (APT) продолжает оставаться одним из самых известных российских хакеров, спонсируемых государством. Они были активны на хакерской сцене почти десять лет, и они постоянно развивают свои подходы и арсенал. Одно из последних дополнений к используемым ими хакерским инструментам - это переработанный бэкдор Turla. Однако у новой угрозы были отключены некоторые функции, поэтому она и получила название TinyTurla Backdoor. Несмотря на несколько ограниченную функциональность, это все еще очень опасная угроза, которая может предоставить хакерам долгосрочный доступ к зараженной системе.
Похоже, что текущая кампания TinyTurla Backdoor фокусируется на приобретении стойкости на взломанной машине, а затем использовании имплантата для доставки вторичной полезной нагрузки. Упрощенный стиль кодирования и ограниченная функциональность TinyTurla Backdoor позволили ему какое-то время оставаться незамеченным, избегая некоторых мер безопасности. Однако вы можете быть уверены, что в настоящее время антивирусное программное обеспечение с легкостью отлавливает это.
В настоящее время активные экземпляры бэкдора TinyTurla обнаружены в Германии и США. Однако весьма вероятно, что хакеры Turla преследовали и другие регионы. Сходство между кодом этого бэкдора и других имплантатов Turla - не единственная причина полагать, что за этим проектом стоит группа - они также используют одну и ту же сетевую инфраструктуру.
Что делает бэкдор TinyTurla?
Возможности TinyTurla Backdoor, хотя и ограничены, все же могут вызвать много проблем. Вот некоторые из команд, которые может выполнять этот имплант:
- Аутентифицировать пользователя, пытающегося получить доступ к имплантату - возможно, чтобы аналитики не пытались контролировать и анализировать имплант.
- Выполнять удаленные команды / файлы, а затем записывать вывод на командный и управляющий (C&C) сервер.
- Скачайте или загрузите файлы.
- Смените пароль аутентификации, а также C&C сервер.
Пока неясен вектор заражения, который хакеры Turla используют для доставки этого бэкдора. Однако активные копии имплантата для маскировки использовали DLL, относящуюся к службе времени Windows. Нередко вредоносные файлы пытаются имитировать легитимные программные пакеты или файлы, которые они используют.
Активность Turla APT находится в центре внимания исследователей вредоносных программ с 2014 года. Однако исследователи кибербезопасности считают, что деятельность спонсируемой государством группы может быть прослежена до 2000-х годов.