TinyTurla-NG Backdoor-bruk mot mål i Polen
Trusselaktøren Turla, tilknyttet Russland, har blitt observert bruke en ny bakdør kalt TinyTurla-NG i en kampanje som strekker seg over tre måneder rettet mot polske ikke-statlige organisasjoner i desember 2023. I følge en teknisk rapport fra Cisco Talos fungerer TinyTurla-NG som en liten "siste sjanse" bakdør, beregnet for bruk når andre uautoriserte tilgangsmekanismer har sviktet eller blitt oppdaget på infiserte systemer.
Denne bakdøren deler likheter med TinyTurla, et implantat som tidligere ble brukt av motstandsgruppen i inntrengninger mot USA, Tyskland og Afghanistan siden minst 2020. Nettsikkerhetsselskapet dokumenterte først TinyTurla i september 2021.
Turla, også kjent under aliaser som Iron Hunter, Pensive Ursa, Secret Blizzard (tidligere Krypton), Snake, Uroburos og Venomous Bear, er en russisk statstilknyttet trusselaktør med koblinger til Federal Security Service (FSB). De siste månedene har Turla fokusert på forsvarssektoren i Ukraina og Øst-Europa, og distribuert en ny .NET-basert bakdør kalt DeliveryCheck. I tillegg har Turla oppgradert sitt mangeårige implantat i andre trinn, Kazuar, brukt så tidlig som i 2017.
TinyTurla-NG ble sist distribuert rundt jul 2023
Den siste kampanjen som involverte TinyTurla-NG fant sted mellom 18. desember 2023 og 27. januar 2024. Mistanker tyder imidlertid på at aktiviteten kan ha startet i november 2023 basert på kompileringsdatoer for skadelig programvare. Distribusjonsmetoden til bakdøren er fortsatt ukjent, men den har blitt observert ved å bruke kompromitterte WordPress-baserte nettsteder som kommando-og-kontroll (C2) endepunkter. Disse kompromitterte nettstedene brukes til å hente og utføre instruksjoner, slik at TinyTurla-NG kan kjøre kommandoer gjennom PowerShell eller kommandoprompt (cmd.exe) og laste ned/laste opp filer.
Dessuten fungerer TinyTurla-NG som en kanal for å levere PowerShell-skript kjent som TurlaPower-NG, designet for å eksfiltrere nøkkelmateriale som brukes til å sikre passorddatabaser for populær passordbehandlingsprogramvare i form av et ZIP-arkiv. Kampanjen beskrives som svært oppdelt, med et begrenset antall kompromitterte nettsteder som fungerer som C2-er som kontakter noen få prøver. Dette gjør det utfordrende å pivotere fra én prøve/C2 til andre ved å bruke samme infrastruktur, noe som gir tillit til deres relaterte natur.
