Польские НПО попали под натиск вымогателя.
В конце 2023 года специалисты Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся кампанию группировки UNC4210, направленную на польские неправительственные организации. В ходе атак использовалась новая программа-вымогатель TinyTurla-NG.
Особенностью TinyTurla-NG является способность действовать как запасной бэкдор, который активируется, когда остальные способы взлома обнаруживаются или блокируются. Зафиксированная кампания длилась с 18 декабря 2023 года по 27 января 2024 года, хотя есть предположения, что атаки могли начаться и в ноябре 2023 года.
Распространение вируса происходит через скомпрометированные сайты на WordPress , которые используются в качестве сервера управления и контроля (Command and Control, C2 ). TinyTurla-NG может выполнять команды с C2-сервера, загружать и выгружать файлы, а также доставлять скрипты для кражи паролей из баз данных управления паролями.
TinyTurla-NG также выступает в качестве канала для доставки сценариев PowerShell , получивших название TurlaPower-NG, которые предназначены для извлечения информации, используемой для защиты баз данных паролей популярного менеджера паролей.
Специалисты подчеркивают, что кампания сфокусирована на небольшом числе организаций, преимущественно в Польше, что подчеркивает предусмотрительность хакеров в вопросе усложнения анализа вредоносной активности.
В конце 2023 года специалисты Cisco Talos Для просмотра ссылки Войди
Особенностью TinyTurla-NG является способность действовать как запасной бэкдор, который активируется, когда остальные способы взлома обнаруживаются или блокируются. Зафиксированная кампания длилась с 18 декабря 2023 года по 27 января 2024 года, хотя есть предположения, что атаки могли начаться и в ноябре 2023 года.
Распространение вируса происходит через скомпрометированные сайты на WordPress , которые используются в качестве сервера управления и контроля (Command and Control, C2 ). TinyTurla-NG может выполнять команды с C2-сервера, загружать и выгружать файлы, а также доставлять скрипты для кражи паролей из баз данных управления паролями.
TinyTurla-NG также выступает в качестве канала для доставки сценариев PowerShell , получивших название TurlaPower-NG, которые предназначены для извлечения информации, используемой для защиты баз данных паролей популярного менеджера паролей.
Специалисты подчеркивают, что кампания сфокусирована на небольшом числе организаций, преимущественно в Польше, что подчеркивает предусмотрительность хакеров в вопросе усложнения анализа вредоносной активности.
- Источник новости
- www.securitylab.ru