TinyTurla, Organizasyonlara Gizlice Saldırmak İçin TTP'leri Geliştirdi


Güvenlik önlemlerinin önünde kalmak ve yeni güvenlik açıklarından yararlanmak, bilgisayar korsanlarının taktiklerini değiştirmesini gerektirir.

Bunu yaparak daha iyi savunmaları atlatmayı, başarı oranlarını en üst düzeye çıkarmayı ve yasa dışı faaliyetlerine devam etmeyi başarırlar.

Tekniklerin bilgisayar korsanları tarafından uyarlanması, gelişen teknolojileri hedef alarak ve dijital ortamdaki değişikliklere uyum sağlayarak sistemlerden ödün vermeye devam etmelerini sağlar ve bu da onların alaka düzeyinin ve etkinliğinin kalıcı olmasını sağlar.

Cisco Talos'taki siber güvenlik araştırmacıları yakın zamanda TinyTurla'nın kurumsal kuruluşlara gizlice saldırmak için TTP'lerini geliştirdiğini keşfetti.

TinyTurla TTP'lerini Geliştirdi

Cisco Talo, CERT.NGO ile koordineli olarak, Rus casusluk grubu Turla tarafından TinyTurla-NG (TTNG) implantının konuşlandırıldığı devam eden bir kampanyada kullanılan tüm öldürme zincirine ilişkin yeni ayrıntıları ortaya çıkardı.

Belge

Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması

Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:

  • Günümüzün kırılganlık yorgunluğu sorunu
  • CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
  • Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
  • Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon

Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:

Analiz, Turla'nın bir Avrupa STK ağı içindeki birden fazla sistemin güvenliğini ihlal ettiğini, kalıcılık sağladığını, anti-virüs korumalarını devre dışı bıraktığını ve ilk ihlalden sonra veri sızdırma ve diğer erişilebilir ana bilgisayarlara yanal hareket için Chisel'i kullandığını ortaya koyuyor.

Güncellenen bulgular, bu tehdit aktörünün hassas bilgileri çalmak ve virüslü kuruluşlar üzerinden yayılmak için kullandığı taktikler, teknikler ve prosedürler hakkında bilgi sağlıyor.

Bir tehdit grubu olan Turla, gelişmiş taktikler kullanıyor. TinyTurla-NG arka kapısını dağıtmadan önce antivirüs dışlamalarını yapılandırır.

Dağıtım sonrası, kötü amaçlı hizmet aracılığıyla kalıcılık sağlar. Turla, implantların bulunduğu yerlerde Microsoft Defender gibi anti-virüs yazılımlarına istisnalar ekliyor.

Toplu dosya içerikleri (Kaynak – Cisco Talos)

TinyTurla-NG kalıcılığı için “Sistem Cihaz Yöneticisi” kılığına girerek “sdm” hizmeti oluşturan toplu dosyaları kullanır ve 2021 TinyTurla tekniğini yansıtır. İkili toplu iş dosyası kullanımı, kaçırma amacıyla gereksiz yere karmaşık görünüyor.

Chisel, saldırgan tarafından kontrol edilen bir sistemde ters proxy tüneli oluşturmak için asimetrik şifreleme kullanıyor.

Saldırganlar, muhtemelen proxy zincirleri ve evil-winrm tarafından kolaylaştırılan WinRM uzaktan oturumları aracılığıyla yanal olarak dönmek için bu ilk keski bağlantısını kullanır.

Turla taktikleri, araçları ve prosedürleri akışı (Kaynak – Cisco Talos)

Güvenliği yeni ihlal edilen sistemlerde, Microsoft Defender dışlamalarını yapılandırma, kötü amaçlı yazılım bileşenlerini kaldırma ve kalıcılığı sağlama yoluyla döngüyü tekrarlarlar. Bu, Turla'nın metodik siber öldürme zinciri taktik kitabına uygundur.

Siber öldürme zinciri (Kaynak – Cisco Talos)

Trafik analizi, Chisel'in C2 sunucusunu saatlik olarak işaretlediğini gösterdi. Sistemlerin güvenliği Ekim 2023'te ele geçirilmiş ve Chisel Aralık 2023'te devreye alınmış olsa da Turla operatörleri, verileri öncelikle 12 Ocak 2024'te Chisel C2 kanalı üzerinden sızdırdı.

IOC'ler

Hash'ler

  • 267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
  • d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40
  • ad4d196b3d85d982343f32d52bffc6ebfeec7bf30553fa441fd7c3ae495075fc
  • 13c017cb706ef869c061078048e550dba1613c0f2e8f2e409d97a1c0d9949346
  • b376a3a6bae73840e70b2fa3df99d881def9250b42b6b8b0458d0445ddfbc044

Alanlar

  • Hanagram[.]jpthefinetreats[.]iletişim
  • caduff-sa[.]chjeepcarlease[.]iletişim
  • yeni-araba satın al[.]iletişim
  • carleasingguru[.]iletişim

IP Adresleri

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link