Usos de la puerta trasera TinyTurla-NG contra objetivos en Polonia

ddos attack russia

Se ha observado que el actor de amenazas Turla, asociado con Rusia, emplea una nueva puerta trasera llamada TinyTurla-NG en una campaña que duró tres meses dirigida a organizaciones no gubernamentales polacas en diciembre de 2023. Según un informe técnico de Cisco Talos, TinyTurla-NG funciona como una pequeña puerta trasera de "última oportunidad", destinada a usarse cuando otros mecanismos de acceso no autorizados han fallado o han sido detectados en sistemas infectados.

Esta puerta trasera comparte similitudes con TinyTurla, un implante utilizado anteriormente por el grupo adversario en intrusiones contra Estados Unidos, Alemania y Afganistán desde al menos 2020. La empresa de ciberseguridad documentó inicialmente TinyTurla en septiembre de 2021.

Turla, también conocida por alias como Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, Uroburos y Venomous Bear, es un actor de amenazas afiliado al estado ruso con vínculos con el Servicio Federal de Seguridad (FSB). En los últimos meses, Turla se ha centrado en el sector de defensa en Ucrania y Europa del Este, implementando una nueva puerta trasera basada en .NET llamada DeliveryCheck. Además, Turla ha actualizado su antiguo implante de segunda etapa, Kazuar, utilizado ya en 2017.

TinyTurla-NG se implementó por última vez alrededor de la Navidad de 2023

La última campaña que involucra a TinyTurla-NG tuvo lugar entre el 18 de diciembre de 2023 y el 27 de enero de 2024. Sin embargo, las sospechas sugieren que la actividad podría haber comenzado en noviembre de 2023 según las fechas de compilación del malware. El método de distribución de la puerta trasera sigue siendo desconocido, pero se ha observado que utiliza sitios web comprometidos basados en WordPress como puntos finales de comando y control (C2). Estos sitios comprometidos se utilizan para buscar y ejecutar instrucciones, lo que permite a TinyTurla-NG ejecutar comandos a través de PowerShell o el símbolo del sistema (cmd.exe) y descargar/cargar archivos.

Además, TinyTurla-NG sirve como conducto para entregar scripts de PowerShell conocidos como TurlaPower-NG, diseñados para filtrar material clave utilizado para proteger bases de datos de contraseñas de software popular de administración de contraseñas en forma de archivo ZIP. La campaña se describe como altamente compartimentada, con un número limitado de sitios web comprometidos que actúan como C2 y se ponen en contacto con algunas muestras. Esto hace que sea un desafío pasar de una muestra/C2 a otras que utilizan la misma infraestructura, lo que brinda confianza en su naturaleza relacionada.

En Zaib
February 19, 2024
Computer Security, Malware
Spanish
February 19, 2024
Computer Security, Malware

Entradas populares

Aplicación Softcnapp potencialmente no deseada

Hace 1 month

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 8 months

Troyano Al11 Detección de malware

Hace 12 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 11 months

Paraboobs.xyz intenta enviar spam con anuncios de...

Hace 5 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.