Rusya destekli gelişmiş kalıcı tehdit grubu (APT) Turla şimdi, modüler yeteneklere sahip yeni geliştirilmiş bir arka kapı kullanan bir siber casusluk kampanyasıyla Polonyalı STK’ları hedef alıyor ve bu, Ukrayna’nın savaş çabalarını destekleyenlere yönelik saldırılarının kapsamının genişlediğinin sinyalini veriyor.
Cisco Talos’a göre Bugün Turla’da yayınlanan blog yazısı Saldırılarda kullanılan ve “TinyTurla-NG” olarak adlandırılan arka kapı (diğer adıyla Snake, Urobouros, Venomous Bear veya WaterBug), APT’nin bilinen özel kötü amaçlı yazılımı olan TinyTurla’ya çok benzer işlevlere sahip. Cisco Talos araştırmacıları gönderide, diğer tüm yetkisiz erişim/arka kapı mekanizmalarının başarısız olması veya virüslü sistemlerde tespit edilmesi durumunda kullanılmak üzere geride bırakılan “son şans” arka kapısı “olarak hareket ettiğini” yazdı.
TinyTurla-NG Özel Kötü Amaçlı Yazılım Modüler Hale Geliyor
Daha önceki TinyTurla gibi TinyTurla-NG de svchost.exe aracılığıyla başlatılan bir hizmet DLL’sidir. Ancak, kötü amaçlı yazılımın kodu yenidir ve farklı kötü amaçlı yazılım özellikleri, uygulama sürecinde farklı iş parçacıkları aracılığıyla dağıtılır; bu, onu öncekilerden ayıran bir özelliktir.
Araştırmacılar, APT’nin aynı zamanda saldırganların ihtiyaçlarına göre kurban makinede yürütülebilecek farklı PowerShell komut dosyalarını ve rastgele komutları da barındırdığını, bunun da önceki arka kapı yeteneklerinden bir başka sapma olduğunu söyledi. Ayrıca, PowerShell veya Windows Komut Satırı Arayüzü olmak üzere iki mekanizma seçeneği aracılığıyla komutların yürütülmesi gibi ek yetenekler sağlar.
Bir Cisco Talos araştırmacısı Dark Reading’e şunları söyledi: “Bu, Turla’nın kötü amaçlı yazılımlarını çeşitli bileşenler halinde modüler hale getirdiğini ve muhtemelen virüslü uç noktadaki her şeyden sorumlu olan tek bir büyük arka kapının tespit edilmesini ve engellenmesini önlemek için olduğunu gösteriyor.”
TinyTurla-NG ayrıca, özellikle saldırganların ilgisini çekebilecek dosyaların sızmasını amaçlayan, TurlaPower-NG adlı, daha önce bilinmeyen PowerShell tabanlı bir implantı da kullanıyor ve bu da APT’nin taktiklerinde yeni bir değişimin sinyalini veriyor. Araştırmacı, Polonyalı STK’lara yönelik saldırılarda Turla’nın popüler yönetim yazılımının şifre veritabanlarını güvence altına almak için PowerShell implantını kullandığını ve bunun “Turla’nın oturum açma kimlik bilgilerini çalmak için ortak bir çaba gösterdiğini” söylüyor.
Turla: Eski Köpek, Eski ve Yeni Hileler
Turla, Rus hükümeti adına yapıldığına inanılan saldırılarda birkaç yıldır faaliyet gösteren deneyimli bir APT’dir. Grup kullandı sıfır gün, yasal yazılımVe diğer teknikler ait sistemlere arka kapılar dağıtmak için ordular ve hükümetler, diplomatik kuruluşlarVe teknoloji ve araştırma kuruluşları. Bir durumda, hatta bağlantılıydıKazuar arka kapısı aracılığıyla artık meşhur SolarWinds ihlaline kadar.
Ukrayna’yı destekleyen Polonyalı STK’lara karşı yürütülen bu son kampanyanın en erken uzlaşma tarihi 18 Aralık’tı ve araştırmacılara göre bu yıl 27 Ocak’a kadar aktif kaldı. Ancak bunun Kasım ayında daha erken başlayabileceğine dair bazı göstergeler var.
TinyTurla-NG ve TurlaPower-NG yeni özel kullanım biçimleri olsa da Turla kötü amaçlı yazılımı Kampanyada kullanılan grup, özellikle komuta ve kontrol için eski taktikleri de kullanmaya devam ediyor (C2). Örneğin, kötü amaçlı yazılımı barındırmak ve çalıştırmak için güvenliği ihlal edilmiş WordPress tabanlı web sitelerinden C2’ler olarak yararlanmaya devam ediyor.
Gönderiye göre “Operatörler, C2 kodunu içeren PHP dosyalarının yüklenmesine izin veren, savunmasız WordPress sürümlerini (4.4.20, 5.0.21, 5.1.18 ve 5.7.2 dahil olmak üzere sürümler) çalıştıran farklı web siteleri kullanıyor.”
Gelişmiş APT Siber Saldırılarına Karşı Savunma
Cisco Talos, en son Turla kampanyası için risk göstergeleri (IoC’ler) listesine hem karmaların hem de etki alanlarının bir listesini ve ayrıca hedef alınmaktan endişe duyan kuruluşlar için kapsam sağlayabilecek güvenlik çözümlerinin bir listesini ekledi.
Genel olarak araştırmacılar kuruluşların “bir katmanlı savunma Cisco Talos araştırmacısı, karmaşık APT tehditlerine karşı savunma sağlamak için ilk tehlikeden son yük dağıtımına kadar kötü niyetli etkinliklerin tespit edilmesine ve engellenmesine olanak tanıyan “model” olduğunu söylüyor.
Araştırmacı, “Kuruluşların birden fazla saldırı yüzeyindeki bu kadar motivasyonu yüksek ve karmaşık rakipleri tespit etmesi ve bunlara karşı koruma sağlaması zorunludur” diyor.
Cisco Talos ayrıca kuruluşların kendilerini hedefli saldırılara karşı daha fazla korumak için ilgilenilen dosyaların arşivlenmesi ve ardından dışarı sızma gibi uygulamalı klavye etkinliklerini kullanmasını önermektedir.
