Связанный с Россией исполнитель угроз, известный как Turla, заразил несколько систем, принадлежащих неназванной европейской неправительственной организации (НПО), чтобы внедрить бэкдор под названием TinyTurla-NG.
"Злоумышленники скомпрометировали первую систему, установили персистентность и добавили исключения к антивирусным продуктам, работающим на этих конечных точках, в рамках своих предварительных действий после компрометации", - сказал Cisco Talos в новом отчете, опубликованном сегодня.
"Затем Turla открыла дополнительные каналы связи через Chisel для фильтрации данных и подключения к дополнительным доступным системам в сети".
Есть свидетельства, указывающие на то, что зараженные системы были взломаны еще в октябре 2023 года, при этом Chisel был развернут в декабре 2023 года, а удаление данных с помощью инструмента произошло месяц спустя, примерно 12 января 2024 года.
TinyTurla- NG был впервые задокументирован компанией по кибербезопасности в прошлом месяце после того, как было установлено, что он использовался в связи с кибератакой на польскую неправительственную организацию, работающую над улучшением польской демократии и поддерживающую Украину во время российского вторжения.
В то время Cisco Talos сообщил The Hacker News, что кампания, по-видимому, носит целенаправленный характер и сосредоточена на небольшом количестве организаций, большинство из которых расположены в Польше.
Цепочка атак включает в себя использование Turla их первоначального доступа для настройки антивирусных исключений Microsoft Defender, чтобы избежать обнаружения и удалить TinyTurla-NG, которая затем сохраняется путем создания вредоносной службы "sdm", которая маскируется под службу "Системного диспетчера устройств".
TinyTurla-NG действует как бэкдор для проведения последующей разведки, передачи интересующих файлов на сервер командования и контроля (C2) и развертывания специально созданной версии программного обеспечения для туннелирования Chisel. Точный путь вторжения все еще расследуется.
"Как только злоумышленники получат доступ к новому ящику, они повторят свои действия для создания исключений Microsoft Defender, удаления компонентов вредоносного ПО и обеспечения устойчивости", - заявили исследователи Talos.
"Злоумышленники скомпрометировали первую систему, установили персистентность и добавили исключения к антивирусным продуктам, работающим на этих конечных точках, в рамках своих предварительных действий после компрометации", - сказал Cisco Talos в новом отчете, опубликованном сегодня.
"Затем Turla открыла дополнительные каналы связи через Chisel для фильтрации данных и подключения к дополнительным доступным системам в сети".
Есть свидетельства, указывающие на то, что зараженные системы были взломаны еще в октябре 2023 года, при этом Chisel был развернут в декабре 2023 года, а удаление данных с помощью инструмента произошло месяц спустя, примерно 12 января 2024 года.
TinyTurla- NG был впервые задокументирован компанией по кибербезопасности в прошлом месяце после того, как было установлено, что он использовался в связи с кибератакой на польскую неправительственную организацию, работающую над улучшением польской демократии и поддерживающую Украину во время российского вторжения.
В то время Cisco Talos сообщил The Hacker News, что кампания, по-видимому, носит целенаправленный характер и сосредоточена на небольшом количестве организаций, большинство из которых расположены в Польше.
Цепочка атак включает в себя использование Turla их первоначального доступа для настройки антивирусных исключений Microsoft Defender, чтобы избежать обнаружения и удалить TinyTurla-NG, которая затем сохраняется путем создания вредоносной службы "sdm", которая маскируется под службу "Системного диспетчера устройств".
TinyTurla-NG действует как бэкдор для проведения последующей разведки, передачи интересующих файлов на сервер командования и контроля (C2) и развертывания специально созданной версии программного обеспечения для туннелирования Chisel. Точный путь вторжения все еще расследуется.
"Как только злоумышленники получат доступ к новому ящику, они повторят свои действия для создания исключений Microsoft Defender, удаления компонентов вредоносного ПО и обеспечения устойчивости", - заявили исследователи Talos.
