HyperStack Backdoor

HyperStack Backdoor es una amenaza cuyos ataques se observaron por primera vez en 2018. El desarrollo y el uso de HyperStack Backdoor se atribuyen a Turla APT, una organización de piratería que se cree que opera desde Rusia. El nombre de Turla está asociado con una gran cantidad de ataques contra objetivos de alto perfil, y HyperStack Backdoor es solo una de las muchas herramientas de piratería en su kit. El grupo reutiliza malware antiguo con regularidad y también se asegura de introducir actualizaciones periódicas de sus cargas útiles antiguas. Por ejemplo, HyperStack Backdoor ha sido objeto de varias actualizaciones y funciones reelaboradas desde que se observó por primera vez en 2018.

La HyperStack Backdoor se controla abusando del servicio de Windows de llamada a procedimiento remoto (RPC). Además de esto, un implante HyperStack activo puede intentar conectarse a los recursos compartidos IPC $ de otros dispositivos en la misma red, lo que le permite expandirse lateralmente. El malware almacena registros detallados sobre cualquier error y resultado de la ejecución del comando. El investigador de ciberseguridad también descubrió un módulo de limpieza que permite a HyperStack Backdoor buscar archivos de registro con el prefijo '-X'; creen que esta función está destinada a eliminar los rastros de un implante de malware desconocido. Una de las campañas más impresionantes para utilizar HyperStack Backdoor fue contra una organización suiza de ciberdefensa.

Mientras que HyperStack Backdoor no brilla con grandes características. Es más que suficiente para satisfacer las necesidades de los miembros de Turla. No hace falta decir que el abuso del protocolo RPC y las acciones de IPC $ son ciertamente impresionantes y demuestran una vez más la experiencia y los conocimientos de Turla.