خانه » بکدور TinyTurla-NG، توسط هکرهای Turla در نفوذ به سازمان‌ های لهستان استفاده شد

بکدور TinyTurla-NG، توسط هکرهای Turla در نفوذ به سازمان‌ های لهستان استفاده شد

توسط Vulnerbyte
233 بازدید
بکدور TinyTurla-NG

بکدور TinyTurla-NG توسط یک عامل تهدید جدید مرتبط با روسیه به نام Turla (تورلا) به عنوان بخشی از یک کمپین سه ماهه که سازمان‌های غیردولتی لهستان را در دسامبر 2023 مورد هدف قرار داده بود، مشاهده شده است.

سیسکو تالوس طی گزارشی فنی در پانزدهم فوریه ۲۰۲۴ اظهار داشت که بکدور TinyTurla-NG، مانند TinyTurla، یک بکدور کم حجم است که برای استفاده به عنوان «آخرین شانس و فرصت» در زمانی که سایر مکانیزم‌های دسترسی غیرمجاز یا بکدور در سیستم‌‌های تحت نفوذ از کار افتاده یا شناسایی شده‌اند، در نظر گرفته شده است.

بکدور TinyTurla-NG
TinyTurla-NG DLL رشته اصلی نفوذ را آغاز می‌کند

Turla که با نام‌‌های Iron Hunter (شکارچی آهنین)، Pensive Ursa (اورس متفکر)، Secret Blizzard ( بلیزارد مخفی یا Krypton سابق)، Snake (مار)، Uroburos (اوروبوروس) و Venomous Bear (خرس سمی) نیز شناخته می‌‌شود، یک عامل تهدید وابسته به دولت روسیه است که با سرویس امنیت فدرال (FSB) مرتبط می‌باشد.

این عامل تهدید در ماه‌های اخیر، بخش دفاعی اوکراین و اروپای شرقی را توسط یک بکدور جدید مبتنی بر دات نت به نام DeliveryCheck مورد حمله قرار داده است، در حالی که ایمپلنت مرحله دوم اصلی خود را به نام Kazuar ارتقا داده است که از اوایل سال 2017 از آن استفاده می‌کند.

بکدور TinyTurla-NG به دلیل داشتن شباهت با TinyTurla، ایمپلنت دیگری که توسط همین گروه مهاجم در نفوذ به ایالات متحده آمریکا، آلمان و افغانستان حداقل از سال 2020 مورد استفاده قرار گرفته، نامگذاری شده است. TinyTurla اولین بار در سپتامبر 2021 کشف گردید.

آخرین کمپین مربوط به بکدور TinyTurla-NG به هجدهم دسامبر 2023 باز می‌گردد و گفته می‌شود که تا بیست و هفتم ژانویه 2024 ادامه داشته است. با این حال، بر اساس تاریخ های گردآوری بدافزار گمان می‌رود که این فعالیت واقعاً در نوامبر 2023 آغاز شده باشد.

گزارش فنی سیسکو تالوس بیان می‌کند که بکدور TinyTurla-NG یک سرویس DLL است که از طریق svchost.exe آغاز شده است و ویژگی‌های بدافزار از طریق رشته‌های مختلف توزیع می‌شوند. هکرها با استفاده از دستورات ذخیره شده در وب سایت‌های هک شده با نسخه قدیمی وردپرس، می‌توانند TinyTurla-NG را با دستورات زیر کنترل کنند:

  • timeout: تعداد دقیقه‌هایی که بکدور بین درخواست‌های جدید از C2، sleep می‌شود را تغییر می‌دهد.
  • Changeshell: به بکدور دستور می دهد تا دستورات اجرایی shell فعلی را تغییر دهد، یعنی از exe به PowerShell.exe یا بالعکس.
  • changepoint: احتمالاً برای آموزش تغییر به آدرس اینترنتی دوم C2 موجود در ایمپلنت استفاده می‌شود.
  • Get: یک فایل مشخص شده توسط C2 را با استفاده از یک درخواست HTTP GET واکشی می‌کند و آن را در یک مکان مشخص روی دیسک می‌نویسد.
  • Post: فایلی را از قربانی به C2 استخراج می‌کند.
  • Killme: یک فایل BAT با نامی بر اساس یک پارامتر داده شده ایجاد می‌کند.

در حال حاضر مشخص نیست که بکدور چگونه در میان سیستم‌‌های قربانیان توزیع می‌شود، اما معلوم است که از وب ‌سایت‌های مبتنی بر وردپرس هک شده به عنوان endpoint فرمان و کنترل به منظور واکشی و اجرای دستورالعمل‌‌ها استفاده می‌کند که به بکدور امکان می‌دهد دستورات را از طریق PowerShell یا Command Prompt (cmd.exe) و همچنین دانلود یا آپلود فایل‌ها اجرا کند.

استخراج داده‌ها با استفاده از اسکریپت‌های مخرب PowerShell صورت می‌پذیرد که محققان TurlaPower-NG آن‌ها را از طریق بکدور جدید تحویل داده‌اند.

بکدور TinyTurla-NG در دسامبر گذشته همچنین به عنوان مجرایی برای ارائه اسکریپت‌های PowerShell با نام TurlaPower-NG عمل کرده است که به منظور استخراج رمزهای عبور اصلی برای نرم افزار مدیریت رمز عبور محبوب طراحی شده‌اند.

بکدور TinyTurla-NG
عملکرد آرشیو فایل TurlaPower-NG
بکدور TinyTurla-NG
تولید نام فایل بایگانی TurlaPower-NG و تولید لاگ برای C2
بکدور TinyTurla-NG
انتخاب شل TinyTurla-NG بین PowerShell یا cmd[.]exe.

به نظر می‌رسد که این کمپین به شدت هدفمند بوده و بر روی تعداد کمی از سازمان‌ها متمرکز شده است، که تاکنون فقط می‌توان سازمان‌های مستقر در لهستان را تأیید کرد.

این خبر در حالی منتشر شد که مایکروسافت و OpenAI فاش کردند که عوامل تهدید وابسته به دولت روسیه در حال بررسی ابزارهای هوش مصنوعی (AI) مولد، از جمله مدل‌های زبانی بزرگ (LLM) مانند ChatGPT جهت درک پروتکل‌های ارتباطی ماهواره‌ای، فناوری‌ های تصویربرداری راداری، و جستجوی پشتیبانی با تسک های اسکریپت هستند.

 

IoCها

IOCهای این تحقیق را می‌توانید در مخزن GitHub سیسکو تالوس در اینجا پیدا کنید.

هش‌ها

267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40

دامنه‌ها

hanagram[.]jp
thefinetreats[.]com
caduff-sa[.]ch
jeepcarlease[.]com
buy-new-car[.]com
carleasingguru[.]com

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید