قراصنة روس يستهدفون منظمات أوروبية ببرنامج تجسس جديد

هناك أدلة تشير إلى أن الأنظمة المصابة قد تم اختراقها في وقت مبكر من أكتوبر 2023، مع نشر Chisel في ديسمبر 2023 وتم تنفيذ عملية تسريب البيانات عبر الأداة بعد شهر، في حوالي 12 يناير 2024.

“لقد قام المهاجمون باختراق النظام الأول، وأثبتوا استمراريته وأضافوا استثناءات لمنتجات مكافحة الفيروسات التي تعمل على نقاط النهاية هذه كجزء من إجراءاتهم الأولية بعد الاختراق،” Cisco Talos قال في تقرير جديد نشر اليوم.

“قامت شركة Turla بعد ذلك بفتح قنوات اتصال إضافية عبر Chisel لاستخلاص البيانات والتحول إلى أنظمة إضافية يمكن الوصول إليها في الشبكة.”

هناك أدلة تشير إلى أن الأنظمة المصابة قد تم اختراقها في وقت مبكر من أكتوبر 2023، مع نشر Chisel في ديسمبر 2023 وتم تنفيذ عملية تسريب البيانات عبر الأداة بعد شهر، في حوالي 12 يناير 2024.

تم توثيق TinyTurla-NG لأول مرة من قبل شركة الأمن السيبراني الشهر الماضي بعد أن تبين أنه تم استخدامه فيما يتعلق بهجوم سيبراني استهدف منظمة غير حكومية بولندية تعمل على تحسين الديمقراطية البولندية ودعم أوكرانيا خلال الغزو الروسي.

صرحت شركة Cisco Talos لصحيفة Hacker News في ذلك الوقت أن الحملة تبدو مستهدفة بدرجة كبيرة وتركز على عدد صغير من المنظمات، التي يقع معظمها في بولندا.

تتضمن سلسلة الهجوم استغلال Turla لوصولها الأولي لتكوين Microsoft Defender استثناءات مكافحة الفيروسات لتجنب الكشف وإسقاط TinyTurla-NG، والذي يتم استمراره بعد ذلك عن طريق إنشاء خدمة “sdm” ضارة تتنكر في صورة خدمة “System Device Manager”.

يعمل TinyTurla-NG كباب خلفي لإجراء استطلاعات متابعة، وتصفية الملفات ذات الأهمية إلى خادم القيادة والتحكم (C2)، ونشر نسخة مصممة خصيصًا من برنامج Chisel Tunneling. لا يزال مسار التسلل الدقيق قيد التحقيق.

وقال باحثو Talos: “بمجرد أن يتمكن المهاجمون من الوصول إلى صندوق جديد، سيكررون أنشطتهم لإنشاء استثناءات لـ Microsoft Defender، وإسقاط مكونات البرامج الضارة، وخلق استمرارية”.

Exit mobile version