Usos de la puerta trasera TinyTurla-NG contra objetivos en Polonia
Se ha observado que el actor de amenazas Turla, asociado con Rusia, emplea una nueva puerta trasera llamada TinyTurla-NG en una campaña que duró tres meses dirigida a organizaciones no gubernamentales polacas en diciembre de 2023. Según un informe técnico de Cisco Talos, TinyTurla-NG funciona como una pequeña puerta trasera de "última oportunidad", destinada a usarse cuando otros mecanismos de acceso no autorizados han fallado o han sido detectados en sistemas infectados.
Esta puerta trasera comparte similitudes con TinyTurla, un implante utilizado anteriormente por el grupo adversario en intrusiones contra Estados Unidos, Alemania y Afganistán desde al menos 2020. La empresa de ciberseguridad documentó inicialmente TinyTurla en septiembre de 2021.
Turla, también conocida por alias como Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, Uroburos y Venomous Bear, es un actor de amenazas afiliado al estado ruso con vínculos con el Servicio Federal de Seguridad (FSB). En los últimos meses, Turla se ha centrado en el sector de defensa en Ucrania y Europa del Este, implementando una nueva puerta trasera basada en .NET llamada DeliveryCheck. Además, Turla ha actualizado su antiguo implante de segunda etapa, Kazuar, utilizado ya en 2017.
TinyTurla-NG se implementó por última vez alrededor de la Navidad de 2023
La última campaña que involucra a TinyTurla-NG tuvo lugar entre el 18 de diciembre de 2023 y el 27 de enero de 2024. Sin embargo, las sospechas sugieren que la actividad podría haber comenzado en noviembre de 2023 según las fechas de compilación del malware. El método de distribución de la puerta trasera sigue siendo desconocido, pero se ha observado que utiliza sitios web comprometidos basados en WordPress como puntos finales de comando y control (C2). Estos sitios comprometidos se utilizan para buscar y ejecutar instrucciones, lo que permite a TinyTurla-NG ejecutar comandos a través de PowerShell o el símbolo del sistema (cmd.exe) y descargar/cargar archivos.
Además, TinyTurla-NG sirve como conducto para entregar scripts de PowerShell conocidos como TurlaPower-NG, diseñados para filtrar material clave utilizado para proteger bases de datos de contraseñas de software popular de administración de contraseñas en forma de archivo ZIP. La campaña se describe como altamente compartimentada, con un número limitado de sitios web comprometidos que actúan como C2 y se ponen en contacto con algunas muestras. Esto hace que sea un desafío pasar de una muestra/C2 a otras que utilizan la misma infraestructura, lo que brinda confianza en su naturaleza relacionada.