러시아가 후원하는 지능형 지속 위협 그룹(APT) 투렐라 이제 모듈식 기능을 갖춘 새로 개발된 백도어를 사용하는 사이버 간첩 캠페인에서 폴란드 NGO를 표적으로 삼고 있으며, 이는 우크라이나 전쟁 노력 지지자들에 대한 공격 범위가 확대됨을 의미합니다.
Cisco Talos에 따르면 오늘 Turla에 게시된 블로그 게시물 공격에 사용된 백도어인 "TinyTurla-NG"(일명 Snake, Urobouros, Venomous Bear 또는 WaterBug)는 APT의 알려진 맞춤형 악성코드인 TinyTurla와 매우 유사한 기능을 가지고 있습니다. Cisco Talos 연구진은 게시물에서 “다른 모든 무단 액세스/백도어 메커니즘이 감염된 시스템에서 실패하거나 탐지되었을 때 사용하도록 남겨진” “마지막 기회” 백도어 역할을 한다고 밝혔습니다.
TinyTurla-NG 맞춤형 악성코드가 모듈화되었습니다.
TinyTurla와 마찬가지로 TinyTurla-NG는 svchost.exe를 통해 시작되는 서비스 DLL입니다. 그러나 악성 코드의 코드는 새로운 것이며, 구현 프로세스에서 다양한 스레드를 통해 다양한 악성 코드 기능이 배포되는데, 이는 이전 악성 코드와 구별되는 점입니다.
APT는 또한 공격자의 필요에 따라 피해자 컴퓨터에서 실행할 수 있는 다양한 PowerShell 스크립트와 임의 명령을 호스팅하는데, 이는 이전 백도어 기능과 또 다른 차이점이라고 연구진은 말했습니다. 또한 PowerShell 또는 Windows 명령줄 인터페이스라는 두 가지 메커니즘을 선택하여 명령 실행과 같은 추가 기능을 제공합니다.
Cisco Talos 연구원은 Dark Reading에 “이는 Turla가 악성 코드를 다양한 구성 요소로 모듈화하여 감염된 엔드포인트의 모든 것을 담당하는 하나의 거대한 백도어를 탐지하고 차단하는 것을 방지할 가능성이 있음을 나타냅니다.”라고 말했습니다.
TinyTurla-NG는 또한 특히 공격자가 관심을 가질 수 있는 파일을 추출하는 것을 목표로 이전에 알려지지 않은 TurlaPower-NG라는 PowerShell 기반 임플란트를 배포하여 APT 전술의 또 다른 변화를 알립니다. 폴란드 NGO에 대한 공격에서 Turla는 PowerShell 이식을 사용하여 인기 있는 관리 소프트웨어의 비밀번호 데이터베이스를 보호했습니다. 이는 Turla가 로그인 자격 증명을 훔치려는 공동 노력을 의미한다고 연구원은 말합니다.
Turla: 오래된 개, 기존 및 새로운 트릭
Turla는 경험이 풍부한 APT로, 러시아 정부를 대신하여 공격을 수행한 것으로 수년 동안 활동했습니다. 그룹이 사용한 제로 일, 합법적 인 소프트웨어및 다른 기술들 에 속한 시스템에 백도어를 배치하기 위해 군대와 정부, 외교 단체및 기술 및 연구 기관. 한 경우, 심지어 연결되어 있었다, Kazuar 백도어를 통해 현재 악명 높은 SolarWinds 침해 사고까지.
우크라이나를 지원하는 폴란드 NGO를 대상으로 한 이번 캠페인의 가장 이른 타협일은 18월 27일이었고, 연구원들에 따르면 최근에는 올해 XNUMX월 XNUMX일까지 활발하게 활동했습니다. 그러나 XNUMX월보다 일찍 시작되었을 수도 있다는 몇 가지 징후가 있습니다.
TinyTurla-NG와 TurlaPower-NG는 새로운 형태의 맞춤형이지만 Turla 악성코드 캠페인에 사용된 그룹은 특히 명령 및 제어(C2)에 대해 오래된 전술을 계속 사용합니다. 예를 들어, 손상된 WordPress 기반 웹사이트를 C2로 계속 활용하여 악성코드를 호스팅하고 운영합니다.
게시물에 따르면 “운영자는 C4.4.20 코드가 포함된 PHP 파일 업로드를 허용하는 취약한 WordPress 버전(5.0.21, 5.1.18, 5.7.2 및 2 포함)을 실행하는 다양한 웹사이트를 사용합니다.”라고 밝혔습니다.
정교한 APT 사이버 공격에 대한 방어
Cisco Talos는 최신 Turla 캠페인에 대한 침해 지표(IoC) 목록에 해시와 도메인 목록을 모두 포함시켰을 뿐만 아니라 표적이 될까 봐 걱정되는 조직에 적용 범위를 제공할 수 있는 보안 솔루션 목록도 포함했습니다.
전반적으로 연구원들은 조직이 "a"를 사용할 것을 권장합니다. 계층 방어 Cisco Talos 연구원은 정교한 APT 위협을 방어하기 위해 초기 침해부터 최종 페이로드 배포까지 악의적인 활동을 탐지하고 차단할 수 있는 모델'을 제공한다고 밝혔습니다.
연구원은 “조직이 여러 공격 표면에 걸쳐 고도로 동기 부여되고 정교한 공격자를 탐지하고 보호하는 것이 필수적입니다.”라고 말합니다.
Cisco Talos는 또한 조직이 관심 있는 파일 보관 및 후속 유출과 같은 실제 키보드 활동을 사용하여 표적 공격으로부터 스스로를 보호할 것을 권장합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-turla-novel-backdoor-malware-polish-ngos
