ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

3 ข่าว

Turla กลุ่มจารกรรมรัสเซียเจาะช่องโหว่ SharePoint เข้าถึงบัญชีผู้ใช้ในฝรั่งเศสหลายพันราย

Turla Russian espionage hackers exploit SharePoint flaw to access thousands of French user accounts
หน่วยงานฝรั่งเศส C4 และ CERT-FR เปิดรายงานการเจาะระบบโดยกลุ่มจารกรรมไซเบอร์ Turla ที่เชื่อมโยงกับหน่วยงานความมั่นคง FSB ของรัสเซีย กลุ่มนี้เคลื่อนไหวมากว่าสองทศวรรษ ขโมยข้อมูลอ่อนไหวจากหน่วยงานรัฐ การทูต กลาโหม กระบวนการยุติธรรม และบริษัทเทคโนโลยี ในปี 2019 Turla เจาะเซิร์ฟเวอร์ขององค์กรภาคยุติธรรมฝรั่งเศสผ่านช่องโหว่ Microsoft SharePoint อาจเข้าถึงข้อมูลบัญชีผู้ใช้หลายพันราย กลุ่มยังใช้เหยื่อรายย่อยเป็นจุดพักส่งต่อการโจมตี ทำให้ตรวจจับได้ยาก

Turla กลุ่มจารกรรมรัสเซียใช้โครงสร้างที่ถูกยึดปล่อยแบ็กดอร์ STOCKSTAY โจมตียูเครน

Russia-linked Turla STOCKSTAY backdoor espionage Ukraine
กลุ่มภัยคุกคามที่เชื่อมโยงกับรัสเซีย Turla ขยายคลังเครื่องมือจารกรรมด้วยแบ็กดอร์ตัวใหม่ชื่อ STOCKSTAY โจมตีหน่วยงานรัฐและทหารในยูเครนตั้งแต่ปลายปี 2022 มัลแวร์เขียนด้วย .NET สื่อสารผ่าน WebSocket ที่เข้ารหัส ทำให้ตรวจจับยากในทราฟฟิกปกติ Turla ใช้โครงสร้างพื้นฐานของยูเครนที่ถูกยึด เช่น เว็บหน่วยงานรัฐและเซิร์ฟเวอร์บริษัทไอที เพื่อ stage และส่งเพย์โหลด นักวิจัย Google ระบุว่ามันมีความเชื่อมโยงกับชุดเครื่องมือ KAZUAR ของกลุ่มเดียวกัน

Turla แปลง Kazuar Backdoor เป็น Modular P2P Botnet — แฮ็กเกอร์รัสเซียยกระดับการซ่อนตัวในเครือข่ายเป้าหมาย

Turla Kazuar P2P Modular Botnet
กลุ่ม Turla (Secret Blizzard) ที่เชื่อมโยงกับ FSB รัสเซีย พัฒนา Kazuar backdoor จากเฟรมเวิร์กขนาดใหญ่ให้เป็น modular P2P botnet แบ่งเป็น 3 ส่วน Kernel, Bridge และ Worker ลดร่องรอยบนเครื่องเป้าหมาย ทำให้ตรวจจับยากขึ้นมาก Microsoft แนะนำใช้ behavioral detection แทน static signatures