Turla olarak bilinen Rusya bağlantılı tehdit aktörü, adı açıklanmayan bir Avrupa sivil toplum kuruluşuna (STK) ait çeşitli sistemlere virüs bulaştırarak, adı verilen bir arka kapıyı dağıttı. TinyTurla-NG.
Cisco Talos, “Saldırganlar ilk sistemin güvenliğini ihlal etti, kalıcılık sağladı ve bu uç noktalarda çalışan antivirüs ürünlerine, güvenlik ihlali sonrası ön eylemlerinin bir parçası olarak istisnalar ekledi.” söz konusu bugün yayınlanan yeni bir raporda.
“Turla daha sonra veri sızdırmak ve ağdaki erişilebilir ek sistemlere geçiş yapmak için Chisel aracılığıyla ek iletişim kanalları açtı.”
Virüslü sistemlerin Ekim 2023 gibi erken bir tarihte ihlal edildiğini, Chisel’in Aralık 2023’te konuşlandırıldığını ve araç aracılığıyla veri sızıntısının bir ay sonra, 12 Ocak 2024 civarında gerçekleştiğini gösteren kanıtlar var.
TinyTurla-NG, Polonya demokrasisini geliştirmek ve Rus işgali sırasında Ukrayna’yı desteklemek için çalışan Polonyalı bir STK’yı hedef alan bir siber saldırıyla bağlantılı olarak kullanıldığı tespit edildikten sonra ilk kez geçen ay siber güvenlik şirketi tarafından belgelendi.
Cisco Talos, o dönemde The Hacker News’e, kampanyanın oldukça hedefli göründüğünü ve çoğu Polonya’da bulunan az sayıda kuruluşa odaklandığını söylemişti.
Saldırı zinciri, Turla’nın Microsoft Defender’ı yapılandırmak için ilk erişimlerinden yararlanmasını içeriyor antivirüs istisnaları Tespitten kaçınmak ve TinyTurla-NG’yi düşürmek için bu, daha sonra “Sistem Aygıt Yöneticisi” hizmeti gibi görünen kötü amaçlı bir “sdm” hizmeti oluşturularak sürdürülür.
TinyTurla-NG, takip eden keşif gerçekleştirmek, ilgilenilen dosyaları bir komuta ve kontrol (C2) sunucusuna sızdırmak ve Chisel tünel açma yazılımının özel olarak oluşturulmuş bir sürümünü dağıtmak için bir arka kapı görevi görüyor. Kesin izinsiz giriş yolu halen araştırılmaktadır.
Talos araştırmacıları, “Saldırganlar yeni bir kutuya erişim sağladıktan sonra Microsoft Defender istisnaları oluşturmak, kötü amaçlı yazılım bileşenlerini bırakmak ve kalıcılık oluşturmak için faaliyetlerini tekrarlayacaklar” dedi.
