Το TinyTurla-NG Backdoor χρησιμοποιεί ενάντια σε στόχους στην Πολωνία
Ο ηθοποιός απειλών Turla, που σχετίζεται με τη Ρωσία, έχει παρατηρηθεί να χρησιμοποιεί μια νέα κερκόπορτα με το όνομα TinyTurla-NG σε μια εκστρατεία τριών μηνών με στόχο πολωνικές μη κυβερνητικές οργανώσεις τον Δεκέμβριο του 2023. Σύμφωνα με μια τεχνική έκθεση του Cisco Talos, το TinyTurla-NG λειτουργεί ως μια μικρή κερκόπορτα «τελευταίας ευκαιρίας», που προορίζεται για χρήση όταν άλλοι μη εξουσιοδοτημένοι μηχανισμοί πρόσβασης έχουν αποτύχει ή έχουν εντοπιστεί σε μολυσμένα συστήματα.
Αυτή η κερκόπορτα έχει ομοιότητες με το TinyTurla, ένα εμφύτευμα που χρησιμοποιήθηκε προηγουμένως από την αντίπαλη ομάδα σε εισβολές εναντίον των ΗΠΑ, της Γερμανίας και του Αφγανιστάν τουλάχιστον από το 2020. Η εταιρεία κυβερνοασφάλειας κατέγραψε αρχικά το TinyTurla τον Σεπτέμβριο του 2021.
Ο Turla, επίσης γνωστός με ψευδώνυμα όπως Iron Hunter, Pensive Ursa, Secret Blizzard (πρώην Krypton), Snake, Uroburos και Venomous Bear, είναι ένας ρωσικός κρατικός ηθοποιός απειλών με συνδέσμους με την Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB). Τους τελευταίους μήνες, η Turla έχει επικεντρωθεί στον αμυντικό τομέα στην Ουκρανία και την Ανατολική Ευρώπη, αναπτύσσοντας μια νέα κερκόπορτα που βασίζεται σε .NET που ονομάζεται DeliveryCheck. Επιπλέον, η Turla έχει αναβαθμίσει το μακροχρόνιο εμφύτευμά της δεύτερου σταδίου, Kazuar, που χρησιμοποιήθηκε ήδη από το 2017.
Το TinyTurla-NG εγκαταστάθηκε για τελευταία φορά γύρω στα Χριστούγεννα του 2023
Η τελευταία καμπάνια που αφορούσε το TinyTurla-NG πραγματοποιήθηκε μεταξύ 18 Δεκεμβρίου 2023 και 27 Ιανουαρίου 2024. Ωστόσο, οι υποψίες υποδηλώνουν ότι η δραστηριότητα μπορεί να ξεκίνησε τον Νοέμβριο του 2023 με βάση τις ημερομηνίες συλλογής κακόβουλου λογισμικού. Η μέθοδος διανομής του backdoor παραμένει άγνωστη, αλλά έχει παρατηρηθεί ότι χρησιμοποιεί παραβιασμένους ιστότοπους που βασίζονται σε WordPress ως τερματικά σημεία εντολών και ελέγχου (C2). Αυτοί οι παραβιασμένοι ιστότοποι χρησιμοποιούνται για τη λήψη και την εκτέλεση εντολών, επιτρέποντας στο TinyTurla-NG να εκτελεί εντολές μέσω του PowerShell ή της Γραμμής εντολών (cmd.exe) και να κατεβάζει/ανεβάζει αρχεία.
Επιπλέον, το TinyTurla-NG χρησιμεύει ως αγωγός για την παράδοση σεναρίων PowerShell γνωστών ως TurlaPower-NG, σχεδιασμένα για την εξαγωγή βασικού υλικού που χρησιμοποιείται για την ασφάλεια βάσεων δεδομένων κωδικών πρόσβασης δημοφιλούς λογισμικού διαχείρισης κωδικών πρόσβασης με τη μορφή αρχείου ZIP. Η καμπάνια περιγράφεται ως εξαιρετικά κατακερματισμένη, με περιορισμένο αριθμό παραβιασμένων ιστοτόπων που λειτουργούν ως C2 και επικοινωνούν με μερικά δείγματα. Αυτό καθιστά δύσκολη την περιστροφή από ένα δείγμα/C2 σε άλλα χρησιμοποιώντας την ίδια υποδομή, παρέχοντας εμπιστοσύνη στη σχετική τους φύση.
