TinyTurla-NG Backdoor utilizzato contro obiettivi in Polonia
È stato osservato che l'autore della minaccia Turla, associato alla Russia, utilizzava una nuova backdoor denominata TinyTurla-NG in una campagna durata tre mesi contro organizzazioni non governative polacche nel dicembre 2023. Secondo un rapporto tecnico di Cisco Talos, TinyTurla-NG funziona come una piccola backdoor "ultima possibilità", destinata all'uso quando altri meccanismi di accesso non autorizzati hanno fallito o sono stati rilevati su sistemi infetti.
Questa backdoor condivide somiglianze con TinyTurla, un impianto precedentemente utilizzato dal gruppo avversario nelle intrusioni contro Stati Uniti, Germania e Afghanistan almeno dal 2020. La società di sicurezza informatica ha inizialmente documentato TinyTurla nel settembre 2021.
Turla, conosciuto anche con alias come Iron Hunter, Pensive Ursa, Secret Blizzard (ex Krypton), Snake, Uroburos e Venomous Bear, è un attore di minacce affiliato allo stato russo con collegamenti al Servizio di sicurezza federale (FSB). Negli ultimi mesi, Turla si è concentrata sul settore della difesa in Ucraina e in Europa orientale, implementando una nuova backdoor basata su .NET chiamata DeliveryCheck. Inoltre, Turla ha aggiornato il suo impianto di seconda fase di lunga data, Kazuar, utilizzato già nel 2017.
TinyTurla-NG è stato distribuito per l'ultima volta intorno a Natale 2023
L'ultima campagna che ha coinvolto TinyTurla-NG ha avuto luogo tra il 18 dicembre 2023 e il 27 gennaio 2024. Tuttavia, i sospetti suggeriscono che l'attività potrebbe essere iniziata nel novembre 2023 in base alle date di compilazione del malware. Il metodo di distribuzione della backdoor rimane sconosciuto, ma è stato osservato che utilizzava siti Web compromessi basati su WordPress come endpoint di comando e controllo (C2). Questi siti compromessi vengono utilizzati per recuperare ed eseguire istruzioni, consentendo a TinyTurla-NG di eseguire comandi tramite PowerShell o prompt dei comandi (cmd.exe) e scaricare/caricare file.
Inoltre, TinyTurla-NG funge da canale per la distribuzione di script PowerShell noti come TurlaPower-NG, progettati per esfiltrare il materiale chiave utilizzato per proteggere i database delle password dei popolari software di gestione delle password sotto forma di un archivio ZIP. La campagna viene descritta come altamente compartimentata, con un numero limitato di siti Web compromessi che agiscono come C2 contattando alcuni campioni. Ciò rende difficile passare da un campione/C2 ad altri utilizzando la stessa infrastruttura, fornendo fiducia nella loro natura correlata.
