A TinyTurla-NG Backdoor célpontok elleni felhasználása Lengyelországban

Az Oroszországgal kapcsolatba hozható, fenyegetett Turla-t megfigyelték, amint egy új, TinyTurla-NG névre keresztelt háttérajtót alkalmazott egy három hónapig tartó kampányban, amely lengyel nem kormányzati szervezeteket céloz meg 2023 decemberében. A Cisco Talos technikai jelentése szerint a TinyTurla-NG egy kis "utolsó esély" hátsó ajtó, amelyet akkor használnak, ha más jogosulatlan hozzáférési mechanizmusok meghibásodnak vagy észleltek a fertőzött rendszereken.

Ez a hátsó ajtó hasonlóságot mutat a TinyTurlával, egy implantátummal, amelyet az ellenséges csoport korábban legalább 2020 óta használt az Egyesült Államok, Németország és Afganisztán elleni behatolásokhoz. A kiberbiztonsági vállalat eredetileg 2021 szeptemberében dokumentálta a TinyTurlát.

A Turla, más néven Iron Hunter, Pensive Ursa, Secret Blizzard (korábban Krypton), Snake, Uroburos és Venomous Bear, egy orosz államhoz kötődő fenyegetettségi szereplő, aki kapcsolatban áll a Szövetségi Biztonsági Szolgálattal (FSB). Az elmúlt hónapokban a Turla az ukrajnai és kelet-európai védelmi szektorra összpontosított, és egy új, DeliveryCheck nevű, .NET-alapú hátsó ajtót telepített. Ezenkívül a Turla továbbfejlesztette régóta fennálló második lépcsős implantátumát, a Kazuart, amelyet már 2017-ben használtak.

A TinyTurla-NG-t utoljára 2023 karácsonya körül helyezték üzembe

A TinyTurla-NG legutóbbi kampánya 2023. december 18. és 2024. január 27. között zajlott. A gyanú azonban arra utal, hogy a tevékenység 2023 novemberében kezdődhetett a rosszindulatú programok összeállítási dátumai alapján. A hátsó ajtó terjesztési módja továbbra is ismeretlen, de megfigyelték, hogy WordPress-alapú webhelyeket használ parancs-és vezérlő (C2) végpontként. Ezeket a feltört webhelyeket utasítások lekérésére és végrehajtására használják, lehetővé téve a TinyTurla-NG számára, hogy parancsokat futtasson a PowerShell-en vagy a Command Prompt-on (cmd.exe) keresztül, és fájlokat tölthet le/feltölthet.

Ezenkívül a TinyTurla-NG csatornaként szolgál a TurlaPower-NG néven ismert PowerShell-szkriptek szállításához, amelyek célja, hogy ZIP-archívum formájában kiszűrjék a népszerű jelszókezelő szoftverek jelszóadatbázisainak védelmét szolgáló kulcsfontosságú anyagokat. A kampányról azt írják, hogy erősen feldarabolt, korlátozott számú feltört webhely C2-ként lép kapcsolatba néhány mintával. Ez nagy kihívást jelent az egyik mintáról/C2-ről a másikra, ugyanazt az infrastruktúrát használó átállásra, ami bizalmat ad a kapcsolódó természetükben.