Kundi linalohusishwa na Urusi linalohusishwa na hali ya juu ya kuendelea vitisho (APT) linalojulikana kama Turla limehusishwa na kampeni ambayo hapo awali haikuwa na hati ambayo ilihusisha kupenyeza seva za amri na udhibiti (C2) za kikundi cha wadukuzi chenye makao yake makuu nchini Pakistani kiitwacho Storm-0156 kufanya yake. shughuli tangu 2022. Shughuli hiyo, iliyoonekana kwa mara ya kwanza mnamo Desemba 2022, ni mfano wa hivi punde zaidi wa adui wa taifa “kujipachika wenyewe” katika kundi lingine. shughuli mbovu ili kuendeleza malengo yao wenyewe na juhudi za uwasilishaji wa wingu, Lumen Technologies Black Lotus Labs ilisema. “Mnamo Desemba 2022, Secret Blizzard ilipata ufikiaji wa seva ya Storm-0156 C2 na kufikia katikati ya 2023 ilikuwa imeongeza udhibiti wao hadi idadi ya C2 zinazohusishwa na mwigizaji wa Storm-0156,” kampuni hiyo ilisema katika ripoti iliyoshirikiwa na The Hacker. Habari. Kwa kutumia ufikiaji wao kwa seva hizi, Turla imepatikana kuchukua fursa ya uvamizi ambao tayari umeratibiwa na Storm-0156 ili kupeleka familia zisizo maalum zinazojulikana kama TwoDash na Statuezy katika idadi fulani ya mitandao inayohusiana na vyombo mbalimbali vya serikali ya Afghanistan. TwoDash ni kipakuaji kilichopendekezwa, ilhali Statuezy ni trojan inayofuatilia na kuweka data iliyohifadhiwa kwenye ubao kunakili wa Windows. Timu ya Microsoft Threat Intelligence, ambayo pia imetoa matokeo yake katika kampeni, ilisema Turla imetumia miundombinu iliyounganishwa na Storm-0156, ambayo inaingiliana na makundi ya shughuli yanayofuatiliwa kama SideCopy na Transparent Tribe. “Secret Blizzard command-and-control (C2) trafiki ilitokana na miundombinu ya Storm-0156, ikiwa ni pamoja na miundombinu iliyotumiwa na Storm-0156 kukusanya data iliyochujwa kutoka kwa kampeni nchini Afghanistan na India,” Microsoft ilisema katika ripoti iliyoratibiwa iliyoshirikiwa na uchapishaji. Turla, anayejulikana pia kwa majina ya Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (zamani Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, na Waterbug, inakadiriwa kuwa na uhusiano na Huduma ya Usalama ya Shirikisho la Urusi (FSB). Imetumika kwa takriban miaka 30, mwigizaji tishio huajiri zana mbalimbali na za kisasa, ikiwa ni pamoja na Snake, ComRAT, Carbon, Crutch, Kazuar, HyperStack (aka BigBoss), na TinyTurla. Inalenga serikali, mashirika ya kidiplomasia na kijeshi. Kundi hilo pia lina historia ya kuteka nyara miundombinu ya mwigizaji tishio kwa madhumuni yake. Mnamo Oktoba 2019, serikali za Uingereza na Amerika zilifichua unyonyaji wa Turla wa mwigizaji tishio wa Irani ili kuendeleza mahitaji yao ya kijasusi. “Turla alipata na kutumia miundombinu ya amri na udhibiti (C2) ya APT za Irani kupeleka zana zao kwa waathiriwa wa maslahi,” Kituo cha Kitaifa cha Usalama wa Mtandao cha Uingereza (NCSC) kilibainisha wakati huo. Kampuni ya kutengeneza Windows imetambua kundi la wadukuzi la Iran kuwa ni OilRig. Kisha Januari 2023, Mandiant anayemilikiwa na Google alibainisha kuwa Turla alikuwa ameegemea kwenye miundombinu ya mashambulizi inayotumiwa na programu hasidi ya bidhaa iitwayo ANDROMEDA kuwasilisha zana zake za upelelezi na za nyuma kwa walengwa nchini Ukraini. Tukio la tatu la Turla kutumia tena kifaa cha mshambuliaji tofauti liliandikwa na Kaspersky mnamo Aprili 2023, wakati mlango wa nyuma wa Tomiris – unaohusishwa na mwigizaji tishio wa Kazakhstan aliyefuatiliwa kama Storm-0473 – ulitumiwa kupeleka QUIETCANARY mnamo Septemba 2022. “Marudio ya Operesheni za Siri za Blizzard kuchagua au kuamuru miundombinu au zana za tishio lingine waigizaji wanapendekeza kuwa hii ni sehemu ya makusudi ya mbinu na mbinu za Siri ya Blizzard,” Microsoft ilibainisha. Kampeni ya hivi punde ya mashambulizi iliyogunduliwa na Black Lotus Labs na Microsoft inaonyesha kuwa mwigizaji tishio alitumia seva za Storm-0156 C2 kuweka milango ya nyuma kwenye vifaa vya serikali ya Afghanistan, huku nchini India, zililenga seva za C2 zinazopangisha data iliyochujwa kutoka kwa jeshi la India na taasisi zinazohusiana na ulinzi. Maelewano ya seva za Storm-0156 C2 pia yamewezesha Turla kusimamia milango ya zamani kama vile Crimson RAT na kipandikizi cha Golang ambacho hakikuwa na hati hapo awali kilichoitwa Wainscot. Black Lotus Labs iliiambia The Hacker News kwamba kwa sasa haijulikani jinsi seva ziliathiriwa hapo kwanza. Hasa, Redmond alisema iliona Turla akitumia maambukizo ya Crimson RAT ambayo Storm-0156 ilianzisha mnamo Machi 2024 ili kupakua na kutekeleza TwoDash mnamo Agosti 2024. Pia imetumwa katika mitandao ya waathiriwa kando na TwoDash ni kipakuliwa kingine maalum kiitwacho MiniPocket ambacho huunganisha kwenye kificho ngumu. Anwani ya IP/mlango kwa kutumia TCP kupata na kuendesha mfumo wa binary wa hatua ya pili. Washambuliaji wanaoungwa mkono na Kremlin wanasemekana kuhamia baadaye kwenye kituo cha kazi cha waendeshaji Storm-0156 kwa uwezekano wa kutumia vibaya uhusiano wa uaminifu kupata akili muhimu inayohusiana na zana zao, vitambulisho vya C2, pamoja na data iliyochapwa iliyokusanywa kutoka kwa shughuli za awali, kuashiria muhimu. kuongezeka kwa kampeni. “Hii inaruhusu Secret Blizzard kukusanya taarifa za kijasusi kuhusu malengo ya Storm-0156 ya kuvutia katika Asia Kusini bila kulenga mashirika hayo moja kwa moja,” Microsoft ilisema. “Kuchukua fursa ya kampeni za wengine inaruhusu Secret Blizzard kuanzisha nyayo kwenye mitandao ya maslahi kwa juhudi ndogo. Hata hivyo, kwa sababu maeneo haya ya awali yameanzishwa kwa malengo ya maslahi ya mwigizaji mwingine wa tishio, taarifa zilizopatikana kupitia mbinu hii haziwezi kuendana kabisa na Vipaumbele vya siri vya mkusanyiko wa Blizzard.” Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.