与俄罗斯有关的威胁行为者 Turla 感染了属于一个未透露姓名的欧洲非政府组织 (NGO) 的多个系统,以便部署一个名为TinyTurla-NG的后门。
思科 Talos在今天发布的一份新报告中表示:“攻击者破坏了第一个系统,建立了持久性,并为这些端点上运行的防病毒产品添加了排除项,作为其初步破坏后行动的一部分。”
“然后,Turla 通过 Chisel 打开了额外的通信渠道,用于数据泄露并转向网络中其他可访问的系统。”
有证据表明,受感染的系统早在 2023 年 10 月就遭到破坏,Chisel 于 2023 年 12 月部署,一个月后(即 2024 年 1 月 12 日左右)通过该工具发生数据泄露。
TinyTurla-NG 于上个月首次被该网络安全公司记录在案,此前该公司被发现与针对波兰非政府组织的网络攻击有关,该非政府组织致力于改善波兰民主并在俄罗斯入侵期间支持乌克兰。
思科塔洛斯表示,该活动似乎针对性很强,主要针对少数组织,其中大部分位于波兰。
攻击链涉及 Turla 利用其初始访问权限来配置 Microsoft Defender防病毒排除项,以逃避检测并删除 TinyTurla-NG,然后通过创建伪装成“系统设备管理器”服务的恶意“sdm”服务来持久保存该服务。
TinyTurla-NG 充当后门,用于进行后续侦察、将感兴趣的文件泄露到命令和控制 (C2) 服务器,以及部署 Chisel 隧道软件的定制版本。确切的入侵途径仍在调查中。
Talos 研究人员表示:“一旦攻击者获得了新盒子的访问权限,他们就会重复创建 Microsoft Defender 排除项、删除恶意软件组件并创建持久性的活动。”
发表评论
您还未登录,请先登录。
登录