Güvenlik araştırmacıları, Rus hacker grubu Turla tarafından bir hedefin ağına erişimi sürdürmek ve hassas verileri çalmak için kullanılan TinyTurla-NG ve TurlaPower-NG adını verdikleri yeni kötü amaçlı yazılımları tespit edip analiz etti.
Tehdit aktörü, komuta ve kontrol (C2) amacıyla ve kötü amaçlı PowerShell komut dosyalarını barındırmak için WordPress’in savunmasız sürümlerini çalıştıran birden fazla web sitesini kullandı.
Turla, en az 2004’ten beri aktif olan ve bir Rus istihbarat servisine, özellikle de Federal Güvenlik Servisi’ne (FSB) bağlı bir siber casusluk tehdit grubudur.
Özel araçlar ve kötü amaçlı yazılım kullanarak çeşitli sektörlerdeki (örneğin hükümet, askeriye, eğitim, araştırma, ilaç, STK) kuruluşları hedeflemeye odaklanır.
Komuta ve kontrol için WordPress siteleri
Cisco Talos güvenlik araştırmacıları TinyTurla-NG’yi, Rus işgali sırasında Ukrayna’yı destekleyen Polonyalı bir sivil toplum kuruluşunda CERT.NGO ile işbirliği içinde yapılan bir uzlaşmayı araştırırken keşfetti.
Kötü amaçlı yazılım, geçtiğimiz Aralık ayında STK’yı hedef aldı ve popüler şifre yönetimi yazılımının ana şifrelerini sızdırmak için TurlaPower-NG PowerShell komut dosyalarını kullandı.
Araştırmacılara göre TinyTurla-NG, aktif olarak Polonya’daki birden fazla STK’yı hedef alıyor.
TinyTurla-NG kampanyasında kullanılan C2 sunucuları, tehdit aktörünün implantla iletişim kurmak ve çalınan verileri depolamak için gerekli komut dosyalarını, enfeksiyon günlüklerini ve dizinleri ayarlamak için ihlal ettiği meşru ancak savunmasız WordPress web siteleridir.
TinyTurla-NG kötü amaçlı yazılımı bir arka kapı görevi görüyor ve amacı, diğer tüm mekanizmalar başarısız olduğunda veya bunlar tespit edilip kaldırıldığında tehdit aktörünün ele geçirilen sisteme erişmesini sağlamaktır.
Cisco Talos’un teknik raporunda TinyTurla-NG’nin başlatılan bir hizmet DLL’si olduğu açıklanıyor svchost.exe ve kötü amaçlı yazılımın özellikleri çeşitli iş parçacıkları aracılığıyla dağıtılır.
Bilgisayar korsanları, güncel olmayan bir WordPress sürümüne sahip, güvenliği ihlal edilmiş web sitelerinde saklanan komutları kullanarak TinyTurla-NG’yi aşağıdaki komutlarla kontrol edebilir:
- zaman aşımı: C2’den yeni görevler istemek arasında arka kapının uyuyacağı dakika sayısını değiştirir
- değişiklik kabuğu: arka kapıya mevcut kabuk yürütme komutlarını (örneğin cmd.exe’den PowerShell.exe’ye veya tam tersi) değiştirmesi talimatını verir.
- değişim noktası: muhtemelen implantta bulunan ikinci C2 URL’sine geçiş konusunda talimat vermek için kullanılır.
- elde etmek: HTTP GET isteğini kullanarak C2 tarafından belirtilen bir dosyayı getirir ve onu diskte belirtilen bir konuma yazar
- postalamak: kurbandan C2’ye bir dosya sızdırır
- beni öldür: belirli bir parametreye dayalı bir adla bir BAT dosyası oluşturur
Veri sızdırma, araştırmacıların TurlaPower-NG adını verdiği ve yeni arka kapı aracılığıyla gönderilen kötü amaçlı PowerShell komut dosyaları kullanılarak yapılıyor.
“Komut dosyaları C2 URL’sinden ve hedef dosya yollarından oluşuyor. Belirtilen her dosya yolu için, komut dosyası dosyaları yinelemeli olarak numaralandıracak ve bunları diskteki bir arşive ekleyecektir” – Cisco Talos
Numaralandırma aşamasında komut dosyaları .MP4 uzantılı video dosyalarını hariç tutar. Hedeflenen veriler, bir .ZIP arşivine sarılmış, şifre yönetimi yazılımının veya veritabanlarının kilidini açan şifrelerdir.
TinyTurla-NG arka kapısının en az üç çeşidi var ancak araştırmacılar bunlardan yalnızca ikisine erişebildi.
Bulgulara göre Turla, hedef altyapıya 18 Aralık ile 27 Ocak tarihleri arasında erişebildi. Ancak kötü amaçlı yazılım derleme tarihlerine göre, saldırı muhtemelen geçen yılın Kasım ayı başlarında başlamıştı.
TinyTurla-NG’nin kodu, tehdit aktörünün eski TinyTurla implantından farklı olsa da her ikisi de, diğer yöntemler başarısız olduğunda erişim sağlamaya devam eden “gizli bir arka kapı” görevi görerek aynı kullanıma sahiptir. İki implant, kodlama stili ve işlevsellik uygulamasında benzerlikler paylaşıyor.
Cisco Talos, TinyTurla-NG için hem .TXT hem de .JSON formatında küçük bir dizi uzlaşma göstergesini kullanıma sunuyor.