Russian Turla APT Group implementa una nueva puerta trasera en los sistemas de destino
Los piratas informáticos patrocinados por el estado asociados con Rusia están detrás de una nueva serie de robos que utilizan un implante previamente indocumentado para comprometer sistemas en los EE. UU., Alemania y Afganistán.
Cisco Talos rastreó los ataques hasta el grupo Advanced Persistent Threats (APT) de Turla y acuñó el malware «TinyTurla» debido a su funcionalidad limitada y su estilo de codificación eficiente, que le permite pasar desapercibido. Se cree que los ataques de puerta trasera se han producido desde 2020.
«Es probable que esta simple puerta trasera se utilice como una segunda puerta trasera para mantener el acceso al sistema incluso después de que se elimine el malware principal», dijeron los investigadores. «También podría usarse como un cuentagotas de segunda etapa para infectar el sistema con malware adicional». Además, TinyTurla puede cargar y ejecutar archivos o exfiltrar datos confidenciales de la máquina infectada a un servidor remoto, mientras consulta la estación de comando y control (C2) cada cinco segundos para obtener nuevos comandos.
También conocida por los apodos Snake, Venomous Bear, Uroburos y Iron Hunter, la compañía de espías patrocinada por Rusia es conocida por sus ofensivas cibernéticas dirigidas a agencias gubernamentales y embajadas en los Estados Unidos, Europa y los países del Bloque del Este. La campaña TinyTurla implica el uso de un archivo .BAT para implementar el malware, pero la ruta exacta de intrusión aún no está clara.
La nueva puerta trasera, que se disfraza de un servicio de hora de Microsoft Windows («w32time.dll») inofensivo pero falso para pasar desapercibido, está orquestado para registrarse y establecer comunicación con un servidor controlado por un atacante para obtener más instrucciones. , incluida la descarga y ejecución de cualquier proceso para cargar los resultados de los comandos en el servidor.
Las conexiones de TinyTurla a Turla son el resultado de superposiciones en el modus operandi previamente identificado como la misma infraestructura utilizada por el grupo en otras campañas en el pasado. Pero los ataques también están en marcado contraste con las históricas campañas encubiertas del equipo que incluían servidores web comprometidos y conexiones satelitales secuestradas para su infraestructura C2, sin mencionar el malware evasivo como Crutch y Kazuar.
«Este es un buen ejemplo de la facilidad con la que los servicios maliciosos pueden pasarse por alto en los sistemas actuales, empañados por la miríada de servicios legítimos que se ejecutan constantemente en segundo plano», encontraron los investigadores.
“Hoy es más importante que nunca tener una arquitectura de seguridad de múltiples capas para detectar este tipo de ataques. No es improbable que los oponentes logren eludir una u otra medida de seguridad, pero es mucho más difícil para ellos «burlarlos a todos».
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
