Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Было замечено, что связанный с Россией субъект угрозы, известный как Turla, использовал новый бэкдор под названием TinyTurla-NG в рамках трехмесячной кампании, нацеленной на польские неправительственные организации в декабре 2023 года.
"TinyTurla-NG, как и TinyTurla, представляет собой небольшой бэкдор "последнего шанса", который оставляют для использования, когда все другие механизмы несанкционированного доступа / бэкдора вышли из строя или были обнаружены в зараженных системах", - сказал Cisco Talos в опубликованном сегодня техническом отчете.
TinyTurla- NG названа так из-за сходства с TinyTurla, другим имплантатом, используемым противоборствующим коллективом во вторжениях, направленных против США, Германии и Афганистана, по крайней мере, с 2020 года. TinyTurla была впервые задокументирована компанией по кибербезопасности в сентябре 2021 года.
Turla, также известная под названиями Iron Hunter, Задумчивая Медведица, Secret Blizzard (ранее Krypton), Snake, Uroburos и Venomous Bear, является российским государственным агентом, представляющим угрозу и связанным с Федеральной службой безопасности (ФСБ).
В последние месяцы злоумышленник выделил оборонный сектор Украины и Восточной Европы с помощью нового бэкдора на базе .NET под названием DeliveryCheck, а также модернизировал свой основной имплантат второй ступени, называемый Kazuar, который он ввел в эксплуатацию еще в 2017 году.
Последняя кампания с участием TinyTurla- NG датируется 18 декабря 2023 года и, как говорят, продолжалась до 27 января 2024 года. Однако, судя по датам компиляции вредоносного ПО, есть подозрение, что на самом деле эта деятельность могла начаться в ноябре 2023 года.
В настоящее время неизвестно, каким образом бэкдор распространяется в среде жертв, но было обнаружено, что он использует скомпрометированные веб-сайты на базе WordPress в качестве конечных точек управления (C2) для получения и выполнения инструкций, что позволяет ему запускать команды через PowerShell или командную строку (cmd.exe), а также для загрузки файлов.
TinyTurla-NG также служит каналом для доставки сценариев PowerShell, получивших название TurlaPower-NG, которые предназначены для извлечения ключевых материалов, используемых для защиты баз данных паролей популярного программного обеспечения для управления паролями, в виде ZIP-архива.
Раскрытие происходит после того, как Microsoft и OpenAI показали, что государственные деятели из России изучают инструменты генеративного искусственного интеллекта (ИИ), включая большие языковые модели (LLM), такие как ChatGPT, для понимания протоколов спутниковой связи, технологий радиолокационного отображения и поиска поддержки при написании сценариев.
"TinyTurla-NG, как и TinyTurla, представляет собой небольшой бэкдор "последнего шанса", который оставляют для использования, когда все другие механизмы несанкционированного доступа / бэкдора вышли из строя или были обнаружены в зараженных системах", - сказал Cisco Talos в опубликованном сегодня техническом отчете.
TinyTurla- NG названа так из-за сходства с TinyTurla, другим имплантатом, используемым противоборствующим коллективом во вторжениях, направленных против США, Германии и Афганистана, по крайней мере, с 2020 года. TinyTurla была впервые задокументирована компанией по кибербезопасности в сентябре 2021 года.
Turla, также известная под названиями Iron Hunter, Задумчивая Медведица, Secret Blizzard (ранее Krypton), Snake, Uroburos и Venomous Bear, является российским государственным агентом, представляющим угрозу и связанным с Федеральной службой безопасности (ФСБ).
В последние месяцы злоумышленник выделил оборонный сектор Украины и Восточной Европы с помощью нового бэкдора на базе .NET под названием DeliveryCheck, а также модернизировал свой основной имплантат второй ступени, называемый Kazuar, который он ввел в эксплуатацию еще в 2017 году.
Последняя кампания с участием TinyTurla- NG датируется 18 декабря 2023 года и, как говорят, продолжалась до 27 января 2024 года. Однако, судя по датам компиляции вредоносного ПО, есть подозрение, что на самом деле эта деятельность могла начаться в ноябре 2023 года.
В настоящее время неизвестно, каким образом бэкдор распространяется в среде жертв, но было обнаружено, что он использует скомпрометированные веб-сайты на базе WordPress в качестве конечных точек управления (C2) для получения и выполнения инструкций, что позволяет ему запускать команды через PowerShell или командную строку (cmd.exe), а также для загрузки файлов.
TinyTurla-NG также служит каналом для доставки сценариев PowerShell, получивших название TurlaPower-NG, которые предназначены для извлечения ключевых материалов, используемых для защиты баз данных паролей популярного программного обеспечения для управления паролями, в виде ZIP-архива.
Раскрытие происходит после того, как Microsoft и OpenAI показали, что государственные деятели из России изучают инструменты генеративного искусственного интеллекта (ИИ), включая большие языковые модели (LLM), такие как ChatGPT, для понимания протоколов спутниковой связи, технологий радиолокационного отображения и поиска поддержки при написании сценариев.
