Компания Cisco Talos в сотрудничестве с CERT.NGO обнаружила новые вредоносные компоненты, используемые APT Turla.
Talos проиллюстрировала активность после компрометации, которую осуществляли операторы бэкдора TinyTurla-NG (TTNG) для выдачи команд на зараженные конечные точки. Они обнаружили три разных набора команд PowerShell, выданных TTNG для перечисления, создания и извлечения файлов, которые, по мнению злоумышленников, представляли интерес.
Talos с высокой степенью уверенности считает, что TinyTurla-NG, как и TinyTurla, является небольшим бэкдором "последнего шанса", который оставляют для использования, когда все другие механизмы несанкционированного доступа/бэкдоры не работают или обнаружены на зараженных системах.
Indicators of Compromise
IPv4
- 91.193.18.120
Domains
- buy-new-car.com
- caduff-sa.ch
- carleasingguru.com
- hanagram.jp
- jeepcarlease.com
- thefinetreats.com
SHA256
- 13c017cb706ef869c061078048e550dba1613c0f2e8f2e409d97a1c0d9949346
- 267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
- ad4d196b3d85d982343f32d52bffc6ebfeec7bf30553fa441fd7c3ae495075fc
- b376a3a6bae73840e70b2fa3df99d881def9250b42b6b8b0458d0445ddfbc044
- d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40