Turla APT’c Giriş Bilgilerini Çalmak İçin Tasarlanan Yeni Araç

   Şubat 19, 2024  Posted in GBHackers


Rus siber casusluk tehdit grubu “Turla APT grubu”nun kötü niyetli operasyonları için yeni bir arka kapı kullandığı ortaya çıktı.

Bu yeni arka kapı, kodlama stili ve işlevsellik uygulamaları açısından daha önce açıklanan TinyTurla implantıyla benzerlikleri paylaşan “TinyTurla-NG” (TTNG) olarak adlandırıldı.

Ancak bu yeni arka kapı, Rusya işgali sırasında Ukrayna’yı destekleyen Polonyalı sivil toplum kuruluşlarını hedef alarak Aralık 2023’ten bu yana dolaşıyor. Ayrıca bu arka kapı, sızma amacıyla bir PowerShell betiği de kullanıyor.

Belge

Canlı Hesap Devralma Saldırısı Simülasyonu

Canlı saldırı simülasyonu Web Semineri, hesap ele geçirmenin çeşitli yollarını gösterir ve web sitelerinizi ve API’lerinizi ATO saldırılarına karşı korumaya yönelik uygulamaları gösterir.

Cyber ​​Security News ile paylaşılan raporlara göre, Turla tehdit grubunun birden fazla saldırı aracıyla dünya çapında birçok kuruluşu hedef aldığı yaygın olarak biliniyordu.

Hedefleri arasında ABD, Avrupa Birliği, Ukrayna ve Asya vardı. Üstelik bu tehdit aktörü daha önce Ukrayna savunma güçlerini hedef alırken CAPIBAR ve KAZUAR kötü amaçlı yazılım ailelerini kullanmıştı.

Bununla birlikte araştırmacılar, en erken riskin 18 Aralık 2023’te bulunduğu ve 27 Ocak 2024’e kadar aktif kaldığı üç farklı TinyTurla-NG örneği keşfetti. En son kampanyada, WordPress tabanlı web siteleri komut ve kontrol (C2) uç noktaları olarak kullanıldı. TTNG arka kapısı.

Saldırganların kontrolündeki tüm WordPress web siteleri, C2 kodunu içeren PHP dosyalarının yüklenmesine izin veren güvenlik açığı bulunan bir sürümle çalışıyordu. PHP dosyalarının rss-old gibi adları vardı[.]php, rss[.]eskimiş[.]php veya blok[.]eskimiş[.]php.ini

TinyTurla-NG : PowerShell ve Komut Satırı

Bu arka kapı aynı zamanda daha önce kullanılan ve svchost.exe aracılığıyla başlatılan bir hizmet DLL’si olarak çalışan TinyTurla arka kapısına da benzer. Çalışmasının yanı sıra, bu yeni kötü amaçlı yazılım, birden fazla iş parçacığı aracılığıyla dağıtılan çeşitli özelliklerle farklı ve yeni görünüyor.

Konu başlatma (Kaynak: Talos)
Konu başlatma (Kaynak: Talos)

Başlangıçta, kötü amaçlı yazılımdaki InitCfgSetupCreateEvent işlevi yapılandırma değişkenlerini başlatır ve ardından CheckOSVersion_StartWorkerThreads işlevi aracılığıyla iki iş parçacığı daha başlatır. Bu işlevler PowerShell ve Windows sürümlerini kontrol eder ve C2, bir kampanya tanımlayıcısı ve “Müşteri Hazır” mesajıyla başlatılır. İstemci C2’ye kaydolduktan sonra TTNG arka kapısı C2’den bir görevin yürütülmesini isteyecektir.

Bu görev, TTNG arka kapısının C2’den yanıt almasını bekleyen CheckOSVersion_Start_WorkerThreads işleviyle başlatılan ikinci iş parçacığı tarafından yürütülür.

Bu görevin yürütülmesine ek olarak arka kapı, implant yönetiminin bir parçası olarak veya dosya yönetimi için C2 için aşağıdaki komut kodlarını da kabul eder.

  • zaman aşımı – C2’den yeni görevler istemek arasındaki uyku süresini değiştirir
  • değişiklik kabuğu – geçerli kabuğu değiştirir (cmd.exe’den Powershell.exe’ye)
  • değişim noktası – implanta ikinci C2 URL’sine geçmesini söyler
  • elde etmek – C2’den belirli bir dosyayı getirir
  • postalamak – kurbandan C2’ye bir dosya sızdırıyor
  • beni öldür – Ayrıca kurban makinenin diskinden bir dosyayı silmek için kullanılan bir BAT dosyası oluşturmak için kullanılır.

Süzme Yetenekleri ve C2

Arka kapı, C2 URL’si ve dosya yollarından oluşan bir PowerShell betiği kullanır. Komut dosyası ayrıca özellikle “.mp4” uzantılı dosyaları hariç tutar ve parola veritabanlarının güvenliğini sağlamak için kullanılan parola yönetim yazılımına ve önemli materyallere odaklanır.

Dosyalar daha sonra bir ZIP arşivine dönüştürülür ve etkinlik günlüğüyle birlikte HTTP/S POST isteği kullanılarak C2 sunucusuna aktarılır. C2 sunucularının, Turla tehdit grubunun ele geçirdiği meşru WordPress tabanlı web sitelerinden oluştuğu keşfedildi.

Bu C2 sunucuları dizinleri ve bazı dosyaları içerecektir;

  • C2 komut dosyaları (klasör): Bu dizin “.old.php” uzantılarıyla biten PHP scriptlerinden oluşur ve bu C2 sunucularının URL’leri TTNG arka kapılarına kodlanmıştır.
  • Günlüğe kaydetme (klasör): Bu klasörde üç günlük dosyası bulunur
  • _kayıt[.]txt: C2’ye işaret veren tüm virüslü uç noktaların günlüğünü içerir.
  • sonuç[.]txt: TTNG arka kapısından alınan tüm mesajların günlüğünü içerir.
  • görevler[.]txt: virüslü ana bilgisayarlara verilen tüm komutların günlüğünü içerir.
Günlük klasörü (Kaynak: Talos)
Günlük klasörü (Kaynak: Talos)
  • Veri dizinleri (klasör): Çalınan veriler bu dizinde saklanır

Uzlaşma Göstergeleri

Hash’ler

  • 267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
  • d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40

Alanlar

  • Hanagram[.]jp
  • thefinetreats[.]iletişim
  • caduff-sa[.]ch
  • jeepcarlease[.]iletişim
  • yeni-araba satın al[.]iletişim
  • carleasingguru[.]iletişim

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link