Kelompok ancaman persisten tingkat lanjut (APT) yang disponsori Rusia menara ini kini menargetkan LSM Polandia dalam kampanye spionase dunia maya yang menggunakan pintu belakang yang baru dikembangkan dengan kemampuan modular, yang menandakan perluasan cakupan serangannya terhadap pendukung upaya perang Ukraina.
Menurut Cisco Talos posting blog diterbitkan hari ini di Turla (alias Snake, Urobouros, Venomous Bear, atau WaterBug), pintu belakang yang digunakan dalam serangan tersebut, dijuluki “TinyTurla-NG,” memiliki fungsi yang sangat mirip dengan malware khusus APT yang dikenal, yang juga bernama TinyTurla. Ini bertindak sebagai pintu belakang “kesempatan terakhir” “yang ditinggalkan untuk digunakan ketika semua mekanisme akses/pintu belakang tidak sah lainnya telah gagal atau terdeteksi pada sistem yang terinfeksi,” tulis peneliti Cisco Talos dalam postingannya.
Malware Khusus TinyTurla-NG Menjadi Modular
Seperti TinyTurla sebelumnya, TinyTurla-NG adalah layanan DLL yang dimulai melalui svchost.exe. Namun, kode malware tersebut masih baru, dan fitur malware yang berbeda didistribusikan melalui thread yang berbeda dalam proses implementasi, sesuatu yang membedakannya dari pendahulunya.
APT juga menampung berbagai skrip PowerShell dan perintah arbitrer yang dapat dieksekusi pada mesin korban sesuai dengan kebutuhan penyerang, sebuah penyimpangan lain dari kemampuan pintu belakang sebelumnya, kata para peneliti. Dan, ini memberikan kemampuan tambahan seperti eksekusi perintah melalui dua pilihan mekanisme — PowerShell atau Windows Command Line Interface.
“Ini menunjukkan bahwa Turla memodulasi malware mereka ke dalam berbagai komponen, kemungkinan besar untuk menghindari deteksi dan pemblokiran satu pintu belakang besar yang bertanggung jawab atas segala sesuatu di titik akhir yang terinfeksi,” kata seorang peneliti Cisco Talos kepada Dark Reading.
TinyTurla-NG juga menyebarkan implan berbasis PowerShell yang sebelumnya tidak diketahui, dijuluki TurlaPower-NG, yang ditujukan khusus untuk mengeksfiltrasi file yang mungkin menarik bagi penyerang, menandakan perubahan lain dalam taktik APT. Dalam serangan terhadap LSM Polandia, Turla menggunakan implan PowerShell untuk mengamankan database kata sandi perangkat lunak manajemen populer, “menunjukkan upaya bersama Turla untuk mencuri kredensial login,” kata peneliti.
Turla: Anjing Tua, Trik Lama & Baru
Turla adalah APT berpengalaman, yang beroperasi selama beberapa tahun dalam serangan yang diyakini atas nama pemerintah Rusia. Grup telah menggunakan nol-hari, perangkat lunak yang sah, dan teknik lainnya untuk menyebarkan backdoors dalam sistem milik militer dan pemerintah, entitas diplomatik, dan organisasi riset dan teknologi. Dalam satu kasus, itu bahkan dikaitkan, melalui pintu belakang Kazuar, hingga pelanggaran SolarWinds yang sekarang terkenal.
Tanggal kompromi paling awal dari kampanye terbaru melawan LSM Polandia pendukung Ukraina ini adalah 18 Desember, dan masih aktif hingga 27 Januari tahun ini, menurut para peneliti. Namun ada beberapa indikasi bahwa hal ini bisa saja dimulai lebih awal, yaitu pada bulan November.
Padahal TinyTurla-NG dan TurlaPower-NG merupakan bentuk kustom baru malware Turla digunakan dalam kampanye, kelompok ini juga terus menggunakan taktik lama, khususnya untuk komando dan kontrol (C2). Misalnya, mereka terus memanfaatkan situs web berbasis WordPress yang telah disusupi sebagai C2 untuk menghosting dan mengoperasikan malware.
“Operator menggunakan situs web berbeda yang menjalankan versi WordPress yang rentan (termasuk versi 4.4.20, 5.0.21, 5.1.18 dan 5.7.2), yang memungkinkan pengunggahan file PHP yang berisi kode C2,” menurut postingan tersebut.
Bertahan Terhadap Serangan Siber APT yang Canggih
Cisco Talos menyertakan daftar hash dan domain dalam daftar indikator kompromi (IoC) untuk kampanye Turla terbaru, serta daftar solusi keamanan yang dapat memberikan perlindungan bagi organisasi yang khawatir menjadi sasaran.
Secara keseluruhan, para peneliti merekomendasikan agar organisasi menggunakan “a pertahanan berlapis model” yang memungkinkan deteksi dan pemblokiran aktivitas jahat mulai dari kompromi awal hingga penerapan muatan akhir untuk bertahan melawan ancaman APT yang canggih, kata peneliti Cisco Talos.
“Sangat penting bagi organisasi untuk mendeteksi dan melindungi diri dari musuh yang bermotivasi tinggi dan canggih dalam berbagai jenis serangan,” kata peneliti.
Cisco Talos juga merekomendasikan agar organisasi menggunakan aktivitas praktis seperti pengarsipan file penting dan eksfiltrasi berikutnya untuk lebih melindungi diri mereka dari serangan yang ditargetkan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-turla-novel-backdoor-malware-polish-ngos
