TinyTurla-NG バックドア

ロシアの支援を受けていると考えられている Turla 攻撃者は、3 か月にわたるキャンペーンで TinyTurla-NG という新しいバックドアを使用していることが観察されています。この攻撃作戦は、2023 年末に向けてポーランドの非政府組織を特にターゲットにしていました。前身である TinyTurla と同様に、TinyTurla-NG はコンパクトな「最後の手段」のバックドアとして機能します。これは、侵害されたシステム上の他のすべての不正アクセスまたはバックドア メカニズムが失敗するか発見されるまで、休止状態を保つように戦略的に展開されます。

TinyTurla に似ていることから名付けられた TinyTurla-NG は、少なくとも 2020 年以降、米国、ドイツ、アフガニスタンを標的とした侵入に敵対集団によって利用されているもう 1 つのインプラントです。このサイバーセキュリティ会社は、2021 年 9 月に TinyTurla を初めて文書化しました。

Turla APTグループはロシアの利益に沿った目標を設定してきた

サイバーセキュリティのスペシャリストとして知られる攻撃者は、Iron Hunter、Pensive Ursa、Secret Blizzard (旧クリプトン)、 Snake 、 Uroburos 、Venomous Bear など、さまざまな別名で Turla を追跡しています。このハッカーグループはロシア国家と提携しており、連邦保安局（FSB）と連携している。

ここ数カ月、Turla は、DeliverCheck という名前の新しい .NET ベースのバックドアを使用して、ウクライナと東ヨーロッパの防衛部門を特にターゲットにしています。同時に、この脅威アクターは、少なくとも 2017 年から使用されている長年の第 2 段階インプラント、 Kazuarをアップグレードしました。

TinyTurla-NG を特徴とする最新のキャンペーンは 2023 年末まで遡り、2024 年 1 月 27 日まで続いたと報告されています。ただし、関連するマルウェアのコンパイル日から、悪意のある活動は早ければ 2023 年 11 月に開始されていたのではないかという疑いがあります。 。

TinyTurla-NG は Infostealer マルウェアの配信に使用されます

TinyTurla-NG バックドアの配布方法は現時点では不明です。ただし、侵害された WordPress ベースの Web サイトをコマンド アンド コントロール (C2) エンドポイントとして利用していることが観察されています。これらの Web サイトは命令を取得して実行する役割を果たし、TinyTurla-NG が PowerShell またはコマンド プロンプト (cmd.exe) を通じてコマンドを実行し、ファイルのダウンロード/アップロード アクティビティを容易にできるようにします。

さらに、TinyTurla-NG は、一般的なパスワード管理ソフトウェアのパスワード データベースを保護するために使用される重要な情報を漏洩するように設計された PowerShell スクリプトで構成される TurlaPower-NG を配信するためのパイプとして機能します。抽出されたデータは通常、ZIP アーカイブにパッケージ化されます。

このキャンペーンは、選ばれた数の組織に焦点を当てた高度なターゲティングを示しており、現在確認されているのはポーランドに拠点を置く組織に限られています。このキャンペーンは強力な区画化が特徴で、C2 として機能するいくつかの侵害された Web サイトが限られた数のサンプルのみとやり取りします。この構造により、同じインフラストラクチャ内で 1 つのサンプル/C2 から他のサンプル/C2 にピボットすることが困難になります。

バックドアにより、攻撃者はさまざまな脅威活動を実行できるようになります

バックドア マルウェアの脅威に感染したデバイスは、次のような重大な危険をもたらします。

• 不正アクセス:バックドアは、サイバー犯罪者がデバイスに侵入するためのステルス エントリ ポイントを提供します。感染すると、攻撃者は不正アクセスを取得し、機密データ、個人情報、または知的財産を侵害する可能性があります。
• データの盗難とスパイ活動:バックドアを悪用して、財務記録、個人情報、ビジネス戦略などの機密情報を窃取する可能性があります。この収集されたデータは、個人情報の盗難、企業スパイ活動に使用されたり、ダークウェブで販売されたりする可能性があります。
• 永続的な制御:バックドアにより、侵害されたデバイスに対する永続的な制御が可能になることがよくあります。攻撃者は、ユーザーの知らないうちにデバイスをリモートで操作し、安全でないコマンドを実行し、長期間アクセスを維持する可能性があります。
• 伝播と横方向の移動:バックドアは、攻撃者がデバイス間を横方向に移動できるようにすることで、ネットワーク内でのマルウェアの拡散を促進する可能性があります。これにより感染が拡大する可能性があり、組織が脅威を封じ込めて根絶することが困難になります。
• ランサムウェアの展開:バックドアは、感染したデバイスまたはネットワーク上にファイルを暗号化するランサムウェアを展開するためのエントリ ポイントとして機能する可能性があります。その後、犯罪者は復号キーの身代金を要求し、通常の業務が中断され、経済的損失が発生します。
• システムの整合性の侵害:バックドアは、セキュリティ機能を変更または無効にすることにより、システムの整合性を侵害する可能性があります。これにより、マルウェアを検出または削除できなくなり、デバイスがさらなる悪用に対して脆弱になるなど、さまざまな問題が発生する可能性があります。
• サプライ チェーン攻撃:バックドアは、サプライ チェーンのプロセス中にソフトウェアまたはファームウェアに挿入される可能性があります。バックドアが事前にインストールされたデバイスは、何も知らないユーザーに配布される可能性があり、個人、企業、さらには重要なインフラストラクチャに重大な脅威をもたらす可能性があります。

これらの危険を軽減するには、個人や組織が定期的なソフトウェア更新、マルウェア対策ソリューション、ネットワーク監視、潜在的な脅威を認識して回避するためのユーザー教育など、堅牢なサイバーセキュリティ対策を設定することが不可欠です。