Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Rosyjska grupa atakuje polskie organizacje pozarządowe

16 lutego 2024, 12:00 | W biegu | komentarze 2

Wybuch konfliktu na Ukrainie to nie tylko działania kinetyczne. W cyberprzestrzeni obserwować możemy wzmożoną działalność grup, zwłaszcza tych rosyjskich. Oprócz oczywistych celów, jakimi są infrastruktury wojskowe i krytyczne, operacje grup powiązanych z rosyjskim rządem skierowane są przeciwko organizacjom wspierającym Ukrainę. 

Cisco Talos opisuje ślady grupy Turla (znanej też jako ATK13, Blue Python czy UNC4210), która może operować od całkiem długiego czasu. Znana jest z ataków na cele położone w U.S, EU czy Azji. Tym razem Talos wspólnie z CERT.NGO odkrył aktywną kampanię tej grupy wymierzoną w polskie organizacje pozarządowe, która mogła trwać od listopada ubiegłego roku. Oprogramowanie wykorzystane do ataków przypomina poprzednio używane przez tę grupę, jednak z racji dużych różnic zostało określone nazwą TinyTurla-NG (od next generation). 

Przestępcy korzystają z przejętych instancji WordPressa w charakterze serwerów C2 (command and control). Podatne strony są konfigurowane przez atakujących, skrypty służące do kontroli malware mają rozszerzenia „.old.php”. Adresy tych zasobów są konfigurowane w kodzie złośliwego oprogramowania, po dwa serwery C2 na próbkę. 
TinyTurla-NG tak jak poprzednia wersja, jest współdzieloną biblioteką DLL uruchamianą przez svchost.exe jako usługa. Uruchamiana wielowątkowo wykorzystuje obiekty typu Event do synchronizacji. Po sprawdzeniu wersji PowerShella oraz systemu operacyjnego, TTNG rejestruje się w zdefiniowanym serwerze C2.

Rys. 1. Wysłanie wiadomości “client_ready” do serwera C2 i uruchomienie głównej pętli przetwarzania. (Źródło: raport Cisco Talos)

Po inicjalizacji malware oczekuje na polecenia z serwera C2, które może wykonywać z wykorzystaniem PowerShella lub cmd.exe.

Rys. 2. Wykonywanie otrzymanych zadań. (Źródło: raport Cisco Talos)

Oczywiście, do komunikacji z C2, backdoor wykorzystuje zapytania HTTP. W odpowiedzi na żądanie może otrzymywać kolejne zadania do wykonania (task), albo program wykonywalny, który ma zostać uruchomiony na zainfekowanym systemie. 

Jeśli zadania wywoływane są z poziomu PS, to dodatkowo TTNG blokuje zapisywanie historii poleceń przez wywołanie poniższego cmdletu:

Set-PSReadLineOption -HistorySaveStyle SaveNothing

Ponadto, na serwerach C&C  wprowadzono logowanie wykonywanych komend, wiadomości odebranych od malware oraz komunikacji z beaconem. 

Rys. 3. Katalog z logami TTNG. (Źródło: raport Cisco Talos)

Metodą na utrzymanie dostępu do przejętych systemów jest technika wykorzystywana już w poprzednich kampaniach Turli i określana jako COM Hijacking

Aktorzy eksfiltrują dane z zainfekowanych komputerów. Przy czym szczególną uwagę poświęcają na pominięciu plików .mp4. Według badaczy głównym celem działań były poświadczenia do baz danych i managerów haseł. Dane spakowane w archiwum zip były przesyłane przy pomocy HTTP do serwerów C2 wraz z logiem aktywności. 

Rys. 4. Eksfiltracja (Źródło: raport Cisco Talos)

Na ten moment nie wskazano, które konkretnie organizacje stały się ofiarami ataków. Talos opublikował za to listę wskaźników IOC w repozytorium na GitHubie

~fc

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Playmobile

    Sekuraki – dzisiaj strasznie slabo dziala Play… wiadomo wam cos? Zwlaszcza w kontekscie tego ze niedawno byli atakowani

    Odpowiedz
  2. Lucjan
    Odpowiedz

Odpowiedz