TinyTurla-NG achterdeurgebruik tegen doelen in Polen

ddos attack russia

Er is waargenomen dat de dreigingsactor Turla, geassocieerd met Rusland, een nieuwe achterdeur genaamd TinyTurla-NG gebruikte in een drie maanden durende campagne gericht tegen Poolse niet-gouvernementele organisaties in december 2023. Volgens een technisch rapport van Cisco Talos functioneert TinyTurla-NG als een kleine 'laatste kans'-achterdeur, bedoeld voor gebruik wanneer andere ongeautoriseerde toegangsmechanismen hebben gefaald of zijn gedetecteerd op geïnfecteerde systemen.

Deze achterdeur vertoont overeenkomsten met TinyTurla, een implantaat dat eerder sinds minstens 2020 door de vijandige groep werd gebruikt bij inbraken in de VS, Duitsland en Afghanistan. Het cyberbeveiligingsbedrijf documenteerde TinyTurla aanvankelijk in september 2021.

Turla, ook bekend onder aliassen als Iron Hunter, Pensive Ursa, Secret Blizzard (voorheen Krypton), Snake, Uroburos en Venomous Bear, is een aan de Russische staat gelieerde dreigingsacteur met banden met de Federale Veiligheidsdienst (FSB). De afgelopen maanden heeft Turla zich geconcentreerd op de defensiesector in Oekraïne en Oost-Europa, waarbij ze een nieuwe op .NET gebaseerde achterdeur heeft geïmplementeerd, genaamd DeliveryCheck. Bovendien heeft Turla zijn al lang bestaande tweedefase-implantaat, Kazuar, dat al in 2017 werd gebruikt, geüpgraded.

TinyTurla-NG voor het laatst ingezet rond Kerstmis 2023

De laatste campagne waarbij TinyTurla-NG betrokken was, vond plaats tussen 18 december 2023 en 27 januari 2024. Er zijn echter vermoedens dat de activiteit in november 2023 zou kunnen zijn begonnen op basis van de compilatiedata van malware. De distributiemethode van de achterdeur is nog onbekend, maar er is waargenomen dat gecompromitteerde WordPress-websites worden gebruikt als command-and-control (C2)-eindpunten. Deze besmette sites worden gebruikt om instructies op te halen en uit te voeren, waardoor TinyTurla-NG opdrachten kan uitvoeren via PowerShell of de opdrachtprompt (cmd.exe) en bestanden kan downloaden/uploaden.

Bovendien fungeert TinyTurla-NG als kanaal voor het leveren van PowerShell-scripts bekend als TurlaPower-NG, ontworpen om sleutelmateriaal te exfiltreren dat wordt gebruikt om wachtwoorddatabases van populaire wachtwoordbeheersoftware te beveiligen in de vorm van een ZIP-archief. De campagne wordt beschreven als zeer gecompartimenteerd, waarbij een beperkt aantal gecompromitteerde websites optreedt als C2's die contact opnemen met een paar voorbeelden. Dit maakt het een uitdaging om van het ene voorbeeld/C2 naar het andere over te stappen met behulp van dezelfde infrastructuur, wat vertrouwen geeft in de verwante aard ervan.

Tegen Zaib
February 19, 2024
Computer Security, Malware
Nederlands
February 19, 2024
Computer Security, Malware

Populaire posts

Softcnapp mogelijk ongewenste toepassing

1 month geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

8 months geleden

Trojan Al11 malwaredetectie

12 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

7 months geleden

Pinaview is een volledig uitgeruste adware-app

11 months geleden

Paraboobs.xyz probeert push-meldingsadvertenties te spammen

5 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.