TinyTurla-NG Backdoor utilise contre des cibles en Pologne
L'acteur malveillant Turla, associé à la Russie, a été observé en train d'utiliser une nouvelle porte dérobée nommée TinyTurla-NG dans une campagne de trois mois ciblant des organisations non gouvernementales polonaises en décembre 2023. Selon un rapport technique de Cisco Talos, TinyTurla-NG fonctionne comme une petite porte dérobée de « dernière chance », destinée à être utilisée lorsque d'autres mécanismes d'accès non autorisés ont échoué ou ont été détectés sur des systèmes infectés.
Cette porte dérobée partage des similitudes avec TinyTurla, un implant précédemment utilisé par le groupe adverse lors d'intrusions contre les États-Unis, l'Allemagne et l'Afghanistan depuis au moins 2020. La société de cybersécurité a initialement documenté TinyTurla en septembre 2021.
Turla, également connu sous des pseudonymes tels que Iron Hunter, Pensive Ursa, Secret Blizzard (anciennement Krypton), Snake, Uroburos et Venomous Bear, est un acteur menaçant affilié à l'État russe et ayant des liens avec le Service fédéral de sécurité (FSB). Ces derniers mois, Turla s'est concentrée sur le secteur de la défense en Ukraine et en Europe de l'Est, en déployant une nouvelle porte dérobée basée sur .NET appelée DeliveryCheck. De plus, Turla a amélioré son implant de deuxième étape de longue date, Kazuar, utilisé dès 2017.
TinyTurla-NG déployé pour la dernière fois vers Noël 2023
La dernière campagne impliquant TinyTurla-NG a eu lieu entre le 18 décembre 2023 et le 27 janvier 2024. Cependant, des soupçons suggèrent que l'activité aurait pu commencer en novembre 2023 sur la base des dates de compilation des logiciels malveillants. La méthode de distribution de la porte dérobée reste inconnue, mais elle a été observée en utilisant des sites Web WordPress compromis comme points de terminaison de commande et de contrôle (C2). Ces sites compromis sont utilisés pour récupérer et exécuter des instructions, permettant à TinyTurla-NG d'exécuter des commandes via PowerShell ou une invite de commande (cmd.exe) et de télécharger/télécharger des fichiers.
De plus, TinyTurla-NG sert de canal pour fournir des scripts PowerShell connus sous le nom de TurlaPower-NG, conçus pour exfiltrer les éléments clés utilisés pour sécuriser les bases de données de mots de passe des logiciels de gestion de mots de passe populaires sous la forme d'une archive ZIP. La campagne est décrite comme hautement compartimentée, avec un nombre limité de sites Web compromis agissant comme des C2 contactant quelques échantillons. Il est donc difficile de passer d’un échantillon/C2 à d’autres en utilisant la même infrastructure, ce qui donne confiance dans leur nature connexe.