TinyTurla-NG Backdoor wird gegen Ziele in Polen eingesetzt
Es wurde beobachtet, dass der mit Russland in Verbindung stehende Bedrohungsakteur Turla im Dezember 2023 in einer dreimonatigen Kampagne gegen polnische Nichtregierungsorganisationen eine neue Hintertür namens TinyTurla-NG einsetzte. Laut einem technischen Bericht von Cisco Talos fungiert TinyTurla-NG als eine kleine „letzte Chance“-Hintertür, die verwendet werden soll, wenn andere unbefugte Zugriffsmechanismen fehlgeschlagen sind oder auf infizierten Systemen entdeckt wurden.
Diese Hintertür weist Ähnlichkeiten mit TinyTurla auf, einem Implantat, das die gegnerische Gruppe bereits seit mindestens 2020 bei Angriffen auf die USA, Deutschland und Afghanistan eingesetzt hat. Das Cybersicherheitsunternehmen hat TinyTurla erstmals im September 2021 dokumentiert.
Turla, auch bekannt unter Pseudonymen wie Iron Hunter, Pensive Ursa, Secret Blizzard (ehemals Krypton), Snake, Uroburos und Venomous Bear, ist ein russischer staatsnaher Bedrohungsakteur mit Verbindungen zum Bundessicherheitsdienst (FSB). In den letzten Monaten hat sich Turla auf den Verteidigungssektor in der Ukraine und Osteuropa konzentriert und eine neue .NET-basierte Hintertür namens DeliveryCheck eingesetzt. Darüber hinaus hat Turla sein seit langem bestehendes Implantat der zweiten Stufe, Kazuar, das bereits 2017 verwendet wurde, verbessert.
TinyTurla-NG wurde zuletzt um Weihnachten 2023 eingesetzt
Die jüngste Kampagne mit TinyTurla-NG fand zwischen dem 18. Dezember 2023 und dem 27. Januar 2024 statt. Aufgrund der Kompilierungsdaten der Malware besteht jedoch der Verdacht, dass die Aktivität im November 2023 begonnen haben könnte. Die Verbreitungsmethode der Hintertür ist weiterhin unbekannt, es wurde jedoch beobachtet, dass kompromittierte WordPress-basierte Websites als Command-and-Control-Endpunkte (C2) verwendet werden. Diese kompromittierten Websites werden zum Abrufen und Ausführen von Anweisungen verwendet, sodass TinyTurla-NG Befehle über PowerShell oder die Eingabeaufforderung (cmd.exe) ausführen und Dateien herunterladen/hochladen kann.
Darüber hinaus dient TinyTurla-NG als Kanal für die Bereitstellung von PowerShell-Skripten namens TurlaPower-NG, die darauf ausgelegt sind, Schlüsselmaterial zu exfiltrieren, das zum Sichern von Passwortdatenbanken beliebter Passwortverwaltungssoftware in Form eines ZIP-Archivs verwendet wird. Die Kampagne wird als stark fragmentiert beschrieben, wobei eine begrenzte Anzahl kompromittierter Websites als C2s fungieren und einige Stichproben kontaktieren. Dies macht es schwierig, von einer Probe/C2 auf andere zu wechseln, die dieselbe Infrastruktur nutzen, und schafft so Vertrauen in deren Zusammengehörigkeit.
