„TinyTurla-NG Backdoor“ naudojimas prieš taikinius Lenkijoje

Buvo pastebėta, kad grėsmių veikėjas Turla, siejamas su Rusija, naudojo naujas užpakalines duris pavadinimu TinyTurla-NG per tris mėnesius trukusią kampaniją, skirtą Lenkijos nevyriausybinėms organizacijoms 2023 m. gruodžio mėn. Remiantis technine Cisco Talos ataskaita, TinyTurla-NG veikia kaip mažos „paskutinės galimybės“ užpakalinės durys, skirtos naudoti, kai užkrėstose sistemose sugenda arba buvo aptikti kiti neteisėtos prieigos mechanizmai.

Šios užpakalinės durys yra panašios į „TinyTurla“ – implantą, kurį priešininkų grupė anksčiau naudojo kėsinantis į JAV, Vokietiją ir Afganistaną bent jau nuo 2020 m. Kibernetinio saugumo įmonė iš pradžių dokumentavo „TinyTurla“ 2021 m. rugsėjo mėn.

Turla, taip pat žinomas tokiais slapyvardžiais kaip Iron Hunter, Pensive Ursa, Secret Blizzard (anksčiau Krypton), Snake, Uroburos ir Venomous Bear, yra su Rusijos valstybe susijęs grėsmių veikėjas, turintis sąsajų su Federaline saugumo tarnyba (FSB). Pastaraisiais mėnesiais „Turla“ daugiausia dėmesio skyrė gynybos sektoriui Ukrainoje ir Rytų Europoje, įdiegdama naujas „.NET“ pagrindu sukurtas užpakalines duris, pavadintas „DeliveryCheck“. Be to, „Turla“ atnaujino savo ilgalaikį antrosios pakopos implantą „Kazuar“, kuris buvo naudojamas dar 2017 m.

„TinyTurla-NG“ paskutinį kartą buvo įdiegta apie 2023 m. Kalėdas

Paskutinė kampanija, kurioje dalyvavo TinyTurla-NG, vyko nuo 2023 m. gruodžio 18 d. iki 2024 m. sausio 27 d. Tačiau įtarimai rodo, kad veikla galėjo prasidėti 2023 m. lapkritį, remiantis kenkėjiškų programų sudarymo datomis. Užpakalinių durų platinimo metodas lieka nežinomas, tačiau buvo pastebėta, kad kaip komandų ir valdymo (C2) galutiniai taškai naudojami pažeistos „WordPress“ pagrindu sukurtos svetainės. Šios pažeistos svetainės naudojamos instrukcijoms gauti ir vykdyti, leidžiant TinyTurla-NG paleisti komandas per PowerShell arba komandų eilutę (cmd.exe) ir atsisiųsti / įkelti failus.

Be to, „TinyTurla-NG“ yra kanalas „PowerShell“ scenarijų, žinomų kaip „TurlaPower-NG“, pristatymo kanalas, skirtas išfiltruoti pagrindinę medžiagą, naudojamą populiarios slaptažodžių valdymo programinės įrangos slaptažodžių duomenų bazėms apsaugoti ZIP archyvo pavidalu. Kampanija apibūdinama kaip labai suskirstyta, o ribotas skaičius pažeistų svetainių veikia kaip C2, susisiekiančios su keliais pavyzdžiais. Dėl to sunku pereiti nuo vieno pavyzdžio / C2 prie kitų, naudojančių tą pačią infrastruktūrą, suteikiant pasitikėjimo jų susijusiu pobūdžiu.