in

Russian Turla APT Group implementa una nueva puerta trasera en los sistemas de destino


Los piratas informáticos patrocinados por el estado asociados con Rusia están detrás de una nueva serie de robos que utilizan un implante previamente indocumentado para comprometer sistemas en los EE. UU., Alemania y Afganistán.

Cisco Talos rastreó los ataques hasta el grupo Advanced Persistent Threats (APT) de Turla y acuñó el malware «TinyTurla» debido a su funcionalidad limitada y su estilo de codificación eficiente, que le permite pasar desapercibido. Se cree que los ataques de puerta trasera se han producido desde 2020.

Copias de seguridad automáticas de GitHub

«Es probable que esta simple puerta trasera se utilice como una segunda puerta trasera para mantener el acceso al sistema incluso después de que se elimine el malware principal», dijeron los investigadores. «También podría usarse como un cuentagotas de segunda etapa para infectar el sistema con malware adicional». Además, TinyTurla puede cargar y ejecutar archivos o exfiltrar datos confidenciales de la máquina infectada a un servidor remoto, mientras consulta la estación de comando y control (C2) cada cinco segundos para obtener nuevos comandos.

También conocida por los apodos Snake, Venomous Bear, Uroburos y Iron Hunter, la compañía de espías patrocinada por Rusia es conocida por sus ofensivas cibernéticas dirigidas a agencias gubernamentales y embajadas en los Estados Unidos, Europa y los países del Bloque del Este. La campaña TinyTurla implica el uso de un archivo .BAT para implementar el malware, pero la ruta exacta de intrusión aún no está clara.

La nueva puerta trasera, que se disfraza de un servicio de hora de Microsoft Windows («w32time.dll») inofensivo pero falso para pasar desapercibido, está orquestado para registrarse y establecer comunicación con un servidor controlado por un atacante para obtener más instrucciones. , incluida la descarga y ejecución de cualquier proceso para cargar los resultados de los comandos en el servidor.

Las conexiones de TinyTurla a Turla son el resultado de superposiciones en el modus operandi previamente identificado como la misma infraestructura utilizada por el grupo en otras campañas en el pasado. Pero los ataques también están en marcado contraste con las históricas campañas encubiertas del equipo que incluían servidores web comprometidos y conexiones satelitales secuestradas para su infraestructura C2, sin mencionar el malware evasivo como Crutch y Kazuar.

Prevenir filtraciones de datos

«Este es un buen ejemplo de la facilidad con la que los servicios maliciosos pueden pasarse por alto en los sistemas actuales, empañados por la miríada de servicios legítimos que se ejecutan constantemente en segundo plano», encontraron los investigadores.

“Hoy es más importante que nunca tener una arquitectura de seguridad de múltiples capas para detectar este tipo de ataques. No es improbable que los oponentes logren eludir una u otra medida de seguridad, pero es mucho más difícil para ellos «burlarlos a todos».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Experiencia práctica con la nueva configuración y el explorador de archivos de Windows 11

Cómo empezar con Zero Trust en un entorno SaaS