TinyTurla-NG achterdeurgebruik tegen doelen in Polen
Er is waargenomen dat de dreigingsactor Turla, geassocieerd met Rusland, een nieuwe achterdeur genaamd TinyTurla-NG gebruikte in een drie maanden durende campagne gericht tegen Poolse niet-gouvernementele organisaties in december 2023. Volgens een technisch rapport van Cisco Talos functioneert TinyTurla-NG als een kleine 'laatste kans'-achterdeur, bedoeld voor gebruik wanneer andere ongeautoriseerde toegangsmechanismen hebben gefaald of zijn gedetecteerd op geïnfecteerde systemen.
Deze achterdeur vertoont overeenkomsten met TinyTurla, een implantaat dat eerder sinds minstens 2020 door de vijandige groep werd gebruikt bij inbraken in de VS, Duitsland en Afghanistan. Het cyberbeveiligingsbedrijf documenteerde TinyTurla aanvankelijk in september 2021.
Turla, ook bekend onder aliassen als Iron Hunter, Pensive Ursa, Secret Blizzard (voorheen Krypton), Snake, Uroburos en Venomous Bear, is een aan de Russische staat gelieerde dreigingsacteur met banden met de Federale Veiligheidsdienst (FSB). De afgelopen maanden heeft Turla zich geconcentreerd op de defensiesector in Oekraïne en Oost-Europa, waarbij ze een nieuwe op .NET gebaseerde achterdeur heeft geïmplementeerd, genaamd DeliveryCheck. Bovendien heeft Turla zijn al lang bestaande tweedefase-implantaat, Kazuar, dat al in 2017 werd gebruikt, geüpgraded.
TinyTurla-NG voor het laatst ingezet rond Kerstmis 2023
De laatste campagne waarbij TinyTurla-NG betrokken was, vond plaats tussen 18 december 2023 en 27 januari 2024. Er zijn echter vermoedens dat de activiteit in november 2023 zou kunnen zijn begonnen op basis van de compilatiedata van malware. De distributiemethode van de achterdeur is nog onbekend, maar er is waargenomen dat gecompromitteerde WordPress-websites worden gebruikt als command-and-control (C2)-eindpunten. Deze besmette sites worden gebruikt om instructies op te halen en uit te voeren, waardoor TinyTurla-NG opdrachten kan uitvoeren via PowerShell of de opdrachtprompt (cmd.exe) en bestanden kan downloaden/uploaden.
Bovendien fungeert TinyTurla-NG als kanaal voor het leveren van PowerShell-scripts bekend als TurlaPower-NG, ontworpen om sleutelmateriaal te exfiltreren dat wordt gebruikt om wachtwoorddatabases van populaire wachtwoordbeheersoftware te beveiligen in de vorm van een ZIP-archief. De campagne wordt beschreven als zeer gecompartimenteerd, waarbij een beperkt aantal gecompromitteerde websites optreedt als C2's die contact opnemen met een paar voorbeelden. Dit maakt het een uitdaging om van het ene voorbeeld/C2 naar het andere over te stappen met behulp van dezelfde infrastructuur, wat vertrouwen geeft in de verwante aard ervan.