Backdoor TinyTurla-NG wykorzystuje przeciwko celom w Polsce

Zaobserwowano, że ugrupowanie zagrażające Turla, powiązane z Rosją, wykorzystywało nowego backdoora o nazwie TinyTurla-NG w trwającej trzy miesiące kampanii skierowanej do polskich organizacji pozarządowych w grudniu 2023 r. Według raportu technicznego przygotowanego przez Cisco Talos TinyTurla-NG działa jako mały backdoor „ostatniej szansy”, przeznaczony do użycia w przypadku, gdy zawiodą inne mechanizmy nieautoryzowanego dostępu lub zostaną wykryte w zainfekowanych systemach.

Ten backdoor jest podobny do TinyTurla, implantu wykorzystywanego wcześniej przez grupę przeciwników w włamaniach na Stany Zjednoczone, Niemcy i Afganistan co najmniej od 2020 r. Firma zajmująca się cyberbezpieczeństwem początkowo udokumentowała TinyTurla we wrześniu 2021 r.

Turla, znana również pod pseudonimami takimi jak Iron Hunter, Pensive Ursa, Secret Blizzard (dawniej Krypton), Snake, Uroburos i Venomous Bear, to rosyjski ugrupowanie zagrażające państwu powiązane z Federalną Służbą Bezpieczeństwa (FSB). W ostatnich miesiącach Turla skupiła się na sektorze obronnym na Ukrainie i w Europie Wschodniej, wdrażając nowego backdoora opartego na .NET o nazwie DeliveryCheck. Dodatkowo Turla unowocześniła swój wieloletni implant drugiego stopnia, Kazuar, stosowany już w 2017 roku.

TinyTurla-NG ostatnio wdrożono w okolicach Bożego Narodzenia 2023 r

Najnowsza kampania z udziałem TinyTurla-NG miała miejsce między 18 grudnia 2023 r. a 27 stycznia 2024 r. Jednak podejrzenia sugerują, że aktywność mogła rozpocząć się w listopadzie 2023 r., biorąc pod uwagę daty kompilacji szkodliwego oprogramowania. Metoda dystrybucji backdoora pozostaje nieznana, ale zaobserwowano, że wykorzystuje on zainfekowane strony internetowe oparte na WordPressie jako punkty końcowe typu C2. Te zainfekowane witryny służą do pobierania i wykonywania instrukcji, umożliwiając TinyTurla-NG uruchamianie poleceń za pośrednictwem programu PowerShell lub wiersza poleceń (cmd.exe) oraz pobieranie/przesyłanie plików.

Co więcej, TinyTurla-NG służy jako kanał dostarczania skryptów PowerShell znanych jako TurlaPower-NG, zaprojektowanych do wydobywania kluczowych materiałów używanych do zabezpieczania baz danych haseł popularnego oprogramowania do zarządzania hasłami w formie archiwum ZIP. Kampanię opisano jako wysoce podzieloną, z ograniczoną liczbą zaatakowanych witryn internetowych działających jako C2 kontaktujących się z kilkoma próbkami. Sprawia to, że przechodzenie od jednej próbki/C2 do innych korzystających z tej samej infrastruktury jest trudne, co daje pewność co do ich pokrewnego charakteru.