APT-группировка Turla вооружилась новым бэкдором TinyTurla
23/09/21
Киберпреступная APT-группировка Turla (также известная как Waterbug, Venomous Bear, Iron Hunter, Krypton, Snake и Uroburos) в течение последних двух лет использовала новое вредоносное ПО в качестве вторичного метода обеспечения персистентности на скомпрометированных системах в США, Германии и Афганистане.
По словам исследователей в области кибербезопасности из Cisco Talos, TinyTurla использовался как минимум с 2020 года и долгое время успешно скрывался от защитных решений, в основном благодаря своей простоте. Бэкдор, получивший название TinyTurla из-за его ограниченной функциональности и несложного стиля кодирования, также может использоваться в качестве скрытого вредоносного ПО второго уровня.
С помощью данного бэкдора злоумышленники из Turla атаковали предыдущее афганское правительство, до того как к власти пришли участники «Талибан» (запрещенной в РФ террористической организации), а также устанавливали вредонос на компьютерных системах в США и Германии. По словам экспертов, преступники использовали в ходе атак ту же инфраструктуру, что и в других атаках, связанных с их инфраструктурой Penguin Turla. Хакеры использовали вредоносное ПО «как второстепенный бэкдор для поддержания доступа к системе», если основной инструмент доступа был удален.
По сравнению с полноценным бэкдором, функциональность TinyTurla ограничена основными задачами, включая скачивание, загрузку и выполнение файлов. Проанализировав коды, полученные от С&C-сервера, исследователи выявили следующие команды: 0x00:'Authentication', 0x01:'Execute process', 0x02:'Execute with output collection', 0x03:'Download file', 0x04:'Upload file', 0x05:'Create Subprocess', 0x06:'Close Subprocess, ' 0x07:'Subprocess pipe in/out', 0x08:'Set TimeLong', 0x09:'Set TimeShort', 0x0A:'Set new 'Security' password' и 0x0B:'Set Host(s)''.
Для установки бэкдора злоумышленники использовали файл .BAT, замаскированный под DLL-файл (w64time.dll) с целью выдать себя за легитимный файл w32time.dll службы Windows. Как показали результаты анализа, TinyTurla обращается к C&C-серверу каждые пять секунд, создавая аномалию в сетевом трафике.
Однако, несмотря на это, Turla могла использовать бэкдор почти два года, скрывая его от ИБ-экспертов.