Door Rusland gesponsorde geavanceerde persistente dreigingsgroep (APT) Toerla richt zich nu op Poolse NGO's in een cyberspionagecampagne die gebruik maakt van een nieuw ontwikkelde achterdeur met modulaire mogelijkheden, wat een uitbreiding van de reikwijdte van zijn aanvallen op aanhangers van de Oekraïense oorlogsinspanningen aangeeft.
Volgens een Cisco Talos blogpost vandaag gepubliceerd op Turla (ook bekend als Snake, Urobouros, Venomous Bear of WaterBug), de achterdeur die bij de aanvallen werd gebruikt, genaamd “TinyTurla-NG”, heeft functionaliteiten die sterk lijken op de bekende aangepaste malware van APT, de gelijknamige TinyTurla. Het fungeert als een ‘laatste kans’ achterdeur ‘die wordt achtergelaten om te worden gebruikt wanneer alle andere ongeautoriseerde toegang/achterdeurmechanismen hebben gefaald of zijn gedetecteerd op de geïnfecteerde systemen’, schreven Cisco Talos-onderzoekers in de post.
TinyTurla-NG aangepaste malware wordt modulair
Net als TinyTurla ervoor is TinyTurla-NG een service-DLL die wordt gestart via svchost.exe. De code van de malware is echter nieuw en verschillende malwarefuncties worden tijdens het implementatieproces via verschillende threads verspreid, wat deze onderscheidt van zijn voorganger.
De APT host ook verschillende PowerShell-scripts en willekeurige opdrachten die kunnen worden uitgevoerd op de machine van het slachtoffer, afhankelijk van de behoeften van de aanvaller, nog een afwijking van eerdere achterdeurmogelijkheden, aldus de onderzoekers. En het biedt extra mogelijkheden, zoals het uitvoeren van opdrachten via de keuze uit twee mechanismen: PowerShell of Windows Command Line Interface.
“Dit geeft aan dat Turla hun malware in verschillende componenten modulariseert, waardoor detectie en blokkering van één enkele omvangrijke achterdeur die verantwoordelijk is voor alles op het geïnfecteerde eindpunt waarschijnlijk wordt vermeden”, vertelde een onderzoeker van Cisco Talos aan Dark Reading.
TinyTurla-NG maakt ook gebruik van een voorheen onbekend op PowerShell gebaseerd implantaat genaamd TurlaPower-NG, specifiek gericht op het exfiltreren van bestanden die interessant kunnen zijn voor aanvallers, wat een nieuwe verschuiving in de tactiek van de APT aangeeft. Bij de aanvallen op Poolse NGO's gebruikte Turla het PowerShell-implantaat om de wachtwoorddatabases van populaire beheersoftware te beveiligen, "wat duidt op een gezamenlijke inspanning van Turla om inloggegevens te stelen", zegt de onderzoeker.
Turla: oude hond, oude en nieuwe trucs
Turla is een ervaren APT, die al een aantal jaren actief is bij aanvallen waarvan wordt aangenomen dat ze namens de Russische regering zijn uitgevoerd. De groep heeft gebruik gemaakt nul-dagen, legitieme software en andere technieken om backdoors te implementeren in systemen die behoren tot legers en regeringen, diplomatieke entiteiten en technologie en onderzoeksorganisaties. In een geval, het was zelfs gekoppeld, via de Kazuar-achterdeur, naar de nu beruchte SolarWinds-inbraak.
De vroegste compromisdatum van deze laatste campagne tegen Poolse NGO’s die Oekraïne steunen was 18 december, en deze bleef volgens onderzoekers actief tot 27 januari van dit jaar. Er zijn echter enkele aanwijzingen dat het zelfs al eerder, in november, had kunnen beginnen.
Hoewel TinyTurla-NG en TurlaPower-NG nieuwe vormen van maatwerk zijn Turla-malware gebruikt in de campagne, blijft de groep ook oude tactieken toepassen, met name op het gebied van command-and-control (C2). Het blijft bijvoorbeeld gecompromitteerde op WordPress gebaseerde websites gebruiken als C2's om de malware te hosten en te exploiteren.
“De operators gebruiken verschillende websites waarop kwetsbare WordPress-versies draaien (versies waaronder 4.4.20, 5.0.21, 5.1.18 en 5.7.2), waardoor het uploaden van PHP-bestanden met de C2-code mogelijk was”, aldus het bericht.
Verdedigen tegen geavanceerde APT-cyberaanvallen
Cisco Talos heeft een lijst met zowel hashes als domeinen opgenomen in de lijst met indicatoren van compromissen (IoC's) voor de nieuwste Turla-campagne, evenals een lijst met beveiligingsoplossingen die dekking kunnen bieden aan organisaties die zich zorgen maken over doelwitten.
Over het geheel genomen bevelen de onderzoekers aan dat organisaties “a gelaagde verdediging model” dat de detectie en blokkering van kwaadaardige activiteiten mogelijk maakt, vanaf de eerste inbreuk tot de uiteindelijke inzet van de payload ter verdediging tegen geavanceerde APT-bedreigingen, zegt de Cisco Talos-onderzoeker.
“Het is absoluut noodzakelijk dat organisaties zulke zeer gemotiveerde en geavanceerde tegenstanders op meerdere aanvalsoppervlakken detecteren en er zich tegen beschermen”, zegt de onderzoeker.
Cisco Talos raadt organisaties ook aan praktische toetsenbordactiviteiten te gebruiken, zoals het archiveren van interessante bestanden en daaropvolgende exfiltratie, om zichzelf verder te beschermen tegen gerichte aanvallen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-turla-novel-backdoor-malware-polish-ngos
