Le gang Turla APT utilise une nouvelle porte dérobée dans les assauts contre l'Afghanistan, l'Allemagne et les États-Unis

Turla lié à la Russie Dans une série d’assauts contre les États-Unis, l’Allemagne et l’Afghanistan, le groupe APT a déployé une nouvelle porte dérobée connue sous le nom de TinyTurla. Les acteurs de la menace utilisent la porte dérobée depuis au moins 2020, selon les chercheurs de Cisco Talos qui l’ont signalé.

Les attaques contre des entités en Afghanistan ont eu lieu avant la récente prise de contrôle du gouvernement afghan par les talibans et le retrait de toutes les forces militaires américaines et alliées du pays. Les acteurs de la menace pourraient avoir ciblé l’administration afghane précédente, selon Talos.

La porte dérobée auparavant non détectée est très probablement utilisée par l’acteur de l’État-nation comme porte dérobée de secours au cas où le principal virus Turla serait supprimé. La porte dérobée permet à l’attaquant de conserver l’accès au système infecté et peut également être utilisée comme compte-gouttes de charge utile de deuxième étape.

La porte dérobée a été installée en tant que service sur la machine infectée, selon le rapport d’analyse des chercheurs. Ils ont essayé de s’intégrer en nommant le service « Windows Time Service », qui est le même nom qu’un service Windows existant. La porte dérobée peut télécharger et exécuter des fichiers à partir de la machine infectée, ainsi qu’exfiltrer des fichiers. Toutes les cinq secondes, la porte dérobée vérifiait auprès du serveur de commande et de contrôle (C2) via une connexion cryptée HTTPS si l’opérateur avait envoyé de nouvelles commandes.

Le groupe Turla APT (également connu sous le nom de Snake, Uroburos, Waterbug, Venomous Bear et KRYPTON) est actif au Moyen-Orient, en Asie, en Europe, en Amérique du Nord et du Sud et dans les pays de l’ancien bloc soviétique depuis au moins 2004.

 

Les chercheurs n’ont pas encore compris comment la porte dérobée TinyTurla s’est retrouvée sur l’ordinateur de la victime. La porte dérobée, qui se présente sous la forme d’une DLL de service appelée w64time.dll, a été envoyée via un fichier.bat.

Le fait que les chercheurs aient utilisé la même infrastructure que pour les agressions antérieures attribuées à leur infrastructure Penguin Turla est la principale raison pour laquelle ils ont lié cette porte dérobée à Turla.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *