ポーランドのターゲットに対する TinyTurla-NG バックドアの使用
ロシアに関連した脅威アクター Turla は、2023 年 12 月にポーランドの非政府組織を標的とした 3 か月にわたるキャンペーンで、TinyTurla-NG という新しいバックドアを使用していることが観察されました。Cisco Talos による技術レポートによると、TinyTurla-NG は次のように機能します。他の不正アクセス メカニズムが失敗した場合、または感染したシステムで検出された場合に使用することを目的とした、小さな「最後のチャンス」のバックドア。
このバックドアは、少なくとも 2020 年以降、米国、ドイツ、アフガニスタンに対する侵入で敵対的グループによって以前に利用されていたインプラントである TinyTurla と類似点を共有しています。このサイバーセキュリティ会社は、2021 年 9 月に TinyTurla を初めて文書化しました。
Turla は、Iron Hunter、Pensive Ursa、Secret Blizzard (旧クリプトン)、Snake、Uroburos、Venomous Bear などの別名でも知られ、連邦保安局 (FSB) とつながりのあるロシア国家系の脅威アクターです。ここ数カ月、Turla はウクライナと東ヨーロッパの防衛部門に焦点を当て、 DeliveryCheck と呼ばれる新しい .NET ベースのバックドアを展開しました。さらに、Turla は、2017 年にはすでに使用されていた長年の第 2 段階インプラント、Kazuar をアップグレードしました。
TinyTurla-NG は 2023 年のクリスマス頃に最後に配備されました
TinyTurla-NG に関係する最新のキャンペーンは、2023 年 12 月 18 日から 2024 年 1 月 27 日までの間に行われました。ただし、マルウェアの作成日から、この活動は 2023 年 11 月に開始された可能性があるという疑惑があります。バックドアの配布方法は不明のままですが、侵害された WordPress ベースの Web サイトをコマンド アンド コントロール (C2) エンドポイントとして使用していることが観察されています。これらの侵害されたサイトは命令のフェッチと実行に使用され、TinyTurla-NG が PowerShell またはコマンド プロンプト (cmd.exe) を通じてコマンドを実行し、ファイルをダウンロード/アップロードできるようになります。
さらに、TinyTurla-NG は、TurlaPower-NG として知られる PowerShell スクリプトを配信するためのパイプとして機能します。このスクリプトは、一般的なパスワード管理ソフトウェアのパスワード データベースを保護するために使用される主要なマテリアルを ZIP アーカイブの形式で漏洩するように設計されています。このキャンペーンは高度に細分化されており、限られた数の侵害された Web サイトが C2 として機能し、少数のサンプルと接触していると説明されています。このため、同じインフラストラクチャを使用して、あるサンプル/C2 から他のサンプル/C2 にピボットすることが困難になり、それらの関連性に対する信頼が得られます。