TinyTurla-NG Backdoor-brug mod mål i Polen
Trusselsaktøren Turla, der er tilknyttet Rusland, er blevet observeret bruge en ny bagdør ved navn TinyTurla-NG i en kampagne, der strækker sig over tre måneder rettet mod polske ikke-statslige organisationer i december 2023. Ifølge en teknisk rapport fra Cisco Talos fungerer TinyTurla-NG som en lille 'sidste chance' bagdør, beregnet til brug, når andre uautoriserede adgangsmekanismer er svigtet eller blevet opdaget på inficerede systemer.
Denne bagdør deler ligheder med TinyTurla, et implantat, der tidligere blev brugt af den modstandsdygtige gruppe i indtrængen mod USA, Tyskland og Afghanistan siden mindst 2020. Cybersikkerhedsfirmaet dokumenterede oprindeligt TinyTurla i september 2021.
Turla, også kendt under aliaser som Iron Hunter, Pensive Ursa, Secret Blizzard (tidligere Krypton), Snake, Uroburos og Venomous Bear, er en russisk statstilknyttet trusselsaktør med forbindelser til Federal Security Service (FSB). I de seneste måneder har Turla fokuseret på forsvarssektoren i Ukraine og Østeuropa og implementeret en ny .NET-baseret bagdør kaldet DeliveryCheck. Derudover har Turla opgraderet sit mangeårige implantat i andet trin, Kazuar, brugt så tidligt som i 2017.
TinyTurla-NG sidst udrullet omkring julen 2023
Den seneste kampagne, der involverede TinyTurla-NG, fandt sted mellem 18. december 2023 og 27. januar 2024. Mistanker tyder dog på, at aktiviteten kan være startet i november 2023 baseret på malware-kompileringsdatoer. Distributionsmetoden for bagdøren er stadig ukendt, men den er blevet observeret ved at bruge kompromitterede WordPress-baserede websteder som kommando-og-kontrol (C2) slutpunkter. Disse kompromitterede websteder bruges til at hente og udføre instruktioner, så TinyTurla-NG kan køre kommandoer gennem PowerShell eller kommandoprompt (cmd.exe) og downloade/uploade filer.
Desuden tjener TinyTurla-NG som en kanal til levering af PowerShell-scripts kendt som TurlaPower-NG, designet til at eksfiltrere nøglemateriale, der bruges til at sikre adgangskodedatabaser af populær adgangskodehåndteringssoftware i form af et ZIP-arkiv. Kampagnen beskrives som meget opdelt, med et begrænset antal kompromitterede websteder, der fungerer som C2'ere, der kontakter nogle få prøver. Dette gør det udfordrende at pivotere fra én prøve/C2 til andre ved at bruge den samme infrastruktur, hvilket giver tillid til deres relaterede natur.
