Turla Apt Group olarak bilinen Rus devlet destekli bilgisayar korsanları, ABD, Almanya ve Afganistan'daki tehlikeye giren sistemlerde ikincil bir sebat yöntemi olarak hareket eden geçtiğimiz yıl boyunca yeni kötü amaçlı yazılım kullanıyor.
TinyTurla adında sınırlı işlevselliği ve karmaşık olmayan kodlama stili nedeniyle, arka kapı da gizli bir ikinci kademeli kötü amaçlı yazılım damlalıkları olarak da kullanılabilir.
Cisco Talos'taki güvenlik araştırmacıları, TinyTurla'nın, en az 2020'den beri kullanılmış olan Turla Apt Group'tan "daha önce keşfedilmemiş" bir arka kapı olduğunu söylüyor.
"Bu kötü amaçlı yazılımlar, Taliban'ın Hükümetin son zamanlarında, orada ve Batı-destekli askeri kuvvetlerin çekilmesinden önce Afganistan'ı hedeflediğinde, Afganistan'ı hedeflediğinde gözümüzü yakaladı" - Cisco Talos
Adli kanıtlar, Turla Apt (Gelişmiş Kalıcı Tehdit) aktörlerinin, yeni keşfedilen arka kapı ile önceki Afgan hükümetini hedef aldığını göstermektedir.
Bununla birlikte, Cisco Talos'un telemetri verileri, yeni kötü amaçlı yazılımı nasıl keşfettiği, TinyTurla'nın ABD ve Almanya'daki sistemlerde de konuşlandırıldığını gösteriyor.
TinyTurla Backdoor'un Rus devlet bilgisayar korsanlarına bağlama, tehdit aktörünün Turla Apt Group'a atfedilen diğer saldırılarda görülen aynı altyapıyı kullandığı için mümkündü.
"Bir kamu nedeni, bu arka planı Turla'ya atfedememiz, aynı altyapıyı, Penguin Turla altyapısına açıkça atfedilen diğer saldırılar için kullandıkları gibi aynı altyapıyı kullandıkları gerçeğidir" - Cisco Talos
Araştırmalarda bugün yayınlanan araştırmacılar, bilgisayar korsanlarının kötü amaçlı yazılımları "sisteme erişimi korumak için ikinci şans arka kapı olarak kullandıklarını" söylüyorlar.
Tam teşekküllü bir backdoor ile karşılaştırıldığında, TinyTurla'nın işlevselliği, dosyaları indirmeyi, yüklemeyi ve çalıştırmayı içeren temel görevlerle sınırlıdır.
Komuta ve Kontrol (C2) sunucusundan alınan kodlara bakıldığında, araştırmacılar aşağıdaki komutları topladı:
Kötü amaçlı yazılım telemetri koleksiyonuyla bulunduğundan, mağdur sistemlerine nasıl indiği bilinmeyen olmaya devam ediyor. Cisco Talos, bugün bir blog yazısında, bazı teknik detaylar sunar.
Tehdit oyuncusu, arka kapağı yüklemek için bir .bat dosyası kullandı. Meşru bir Windows zaman hizmeti olan W32Time.dll dosyasını kullanmak için bir DLL dosyası (w64time.dll) olarak gizlenmiştir.
Servis olarak kamuflema, TinyTurla'dan kaçılan şeydir, çünkü arka planda aktif olan çok sayıda meşru hizmet, yöneticinin aralarında kötü niyetli olup olmadığını kontrol etmelerini zorlaştırır.
Kötü amaçlı yazılımın analizi, her beş saniyede bir C2 sunucusuyla iletişim kurduğunu göstermiştir, bu, yöneticilerin araştırılması gereken ağ trafiğinde bir anomali oluşturur.
Bu söylemeye rağmen, Turla bu arka kapıdan neredeyse iki yıldır kullanabiliyordu, araştırmacılar.
TinyTurla'nın sadeliği, Turla'nın tipik taktiklerini, Hijacked uydu bağlantıları, sulama deliği saldırıları, rootkits ve gizli kanal arka kapağını kullanarak kapsamlı exfiltration yöntemleri içeren tipik taktikleri zıtlar.
APT grubu, InfoSec endüstrisinde çeşitli isimler (örneğin, subug, zehirli ayı, demir avcısı, kripton, yılan, uroburos) ile adlandırılır.
En az 2014 tarihinden bu yana casusluk ve veri hırsızlığı için çok çeşitli endüstrilerde mağdurları hedeflemektedir.
Grubun ilk tarihi, 1996 yılına kadar gidebilir, ancak Ay Işığı Labirent CyberSpionage operasyonuna bağlı, NASA, Pentagon, Askeri Müteahhitler ve ABD'deki birden fazla devlet kurumundan Sınıflandırılmış bilgileri hedef alan büyük bir veri ihlali.
Araştırmacılara göre, çalınan belgeler basıldı, yığın Washington Anıtı'ndan üç kat daha uzun olacaktı.
Neredeyse 20 yıl sonra, Kaspersky Lab ve King's College Londra'nın araştırmacıları, ay ışığı labirent saldırısında kullanılan Turla ve kötü amaçlı yazılım arasında bir bağlantı buldu.
ABD Yaptırımları Cryptocurrency Borsası Ransomware çeteleri tarafından kullanılan
FBI ve CISA, kritik Zoho böceklerini sömüren devlet bilgisayar korsanlarının uyarılması
Eski ABD Intel Operatuarları Yabancı Govt için kesmek için 1.6 milyon dolar ödeyecek
Autodesk, Rus Solarwinds Hackerları tarafından hedeflendiğini ortaya koyuyor
Lazarus bilgisayar korsanları, high-end kurbanları enfekte etmek için Trickbot'u kullanıyor
Kaynak: Bleeping Computer