Categories
Malware-Incidents News

Turla APT’nin Afganistan, Almanya ve ABD’ye Yönelik Saldırılarında Yeni Bir Backdoor Kullanımı Tespit Edildi

Cisco Talos araştırmacıları tarafından, Rusya bağlantılı Turla APT grubunun kısa süre önce ABD, Almanya ve Afganistan’a yönelik gerçekleştirdiği bir dizi saldırıda TinyTurla adlı yeni bir backdoor kullandığı tespit edilmiştir.

Daha önce keşfedilmemiş söz konusu backdoor, birincil zararlı yazılımın kaldırılması durumunda sisteme erişimi sürdürmek için ikinci bir şans backdooru olarak kullanılmaktadır. Ayrıca sisteme ek zararlı yazılım bulaştırmak için ikinci aşama bir damlalık olarak da kullanılabilmektedir. Saldırıların arkasındaki tehdit aktörleri backdooru savunmasız makineye bir hizmet olarak yüklemektedir. Mevcut Windows hizmeti gibi “Windows Time Service” olarak adlandırılan backdoor bu sayede tespit edilmekten kaçınmaktadır. TinyTurla dosya yükleyebilmekte, yürütebilmekte veya virüslü sistemden dosya çıkarabilmektedir. Bu zararlı yazılıma ilişkin incelemelerde, backdoorun, operatörden yeni komutlar gelip gelmediğini kontrol etmek için her beş saniyede bir HTTPS şifreli kanal aracılığıyla komut ve kontrol (C2) sunucusuyla bağlantı kurduğu gözlemlenmiştir.

Söz konusu backdoorun sınırlı işlevselliği ve basit kodlama stili nedeniyle, zararlı yazılımdan koruma sistemlerinin onu zararlı yazılım olarak algılaması kolay değildir. Güvenlik araştırmacıları tarafından bu zararlı yazılımın en az 2020’den beri tehdit aktörleri tarafından kullanıldığına dair bulgular tespit edilmiştir. TinyTurla, dosya ve yükleri karşıya yükleme ve yürütme, alt süreçler oluşturma ve veri sızdırma gibi birden çok yetenek ile birlikte gelmektedir. Bu tür zararlı yazılımlar kullanılarak gerçekleştirilecek saldırıların hedefi olmamak adına, bilinmeyen taraflardan gelen e-posta ve eklerinin açılmaması, şüpheli görünen bağlantılara tıklanmaması, üçüncü taraflardan dosya indirilmemesi, güvenilir güvenlik çözümlerinin konuşlandırılması ve kurum/kuruluş çalışanlarının bu bağlamda bilinçlendirilmesi tavsiye edilmektedir. Buna ek olarak saldırıya ilişkin tespit edilen IoC bulgularının güvenlik cihazlarından engellenmesi ek güvenlik sağlayacağından önem teşkil etmektedir. Kaynaktan ilgili hash ve dosya ismine erişebilirsiniz.

Kaynak

Leave a Reply

Your email address will not be published. Required fields are marked *