Backdoor TinyTurla-NG é usado contra alvos na Polônia
O ator de ameaça Turla, associado à Rússia, foi observado empregando um novo backdoor chamado TinyTurla-NG em uma campanha de três meses visando organizações não governamentais polonesas em dezembro de 2023. De acordo com um relatório técnico da Cisco Talos, o TinyTurla-NG funciona como um pequeno backdoor de “última chance”, destinado a ser usado quando outros mecanismos de acesso não autorizado falharam ou foram detectados em sistemas infectados.
Este backdoor compartilha semelhanças com o TinyTurla, um implante anteriormente utilizado pelo grupo adversário em invasões contra os EUA, Alemanha e Afeganistão desde pelo menos 2020. A empresa de segurança cibernética documentou inicialmente o TinyTurla em setembro de 2021.
Turla, também conhecido por pseudônimos como Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, Uroburos e Venomous Bear, é um ator de ameaças afiliado ao estado russo com ligações ao Serviço de Segurança Federal (FSB). Nos últimos meses, Turla concentrou-se no setor de defesa na Ucrânia e na Europa Oriental, implantando um novo backdoor baseado em .NET chamado DeliveryCheck. Além disso, a Turla atualizou seu antigo implante de segundo estágio, Kazuar, utilizado já em 2017.
TinyTurla-NG foi implantado pela última vez por volta do Natal de 2023
A última campanha envolvendo TinyTurla-NG ocorreu entre 18 de dezembro de 2023 e 27 de janeiro de 2024. No entanto, as suspeitas sugerem que a atividade pode ter começado em novembro de 2023 com base nas datas de compilação do malware. O método de distribuição do backdoor permanece desconhecido, mas foi observado o uso de sites comprometidos baseados em WordPress como terminais de comando e controle (C2). Esses sites comprometidos são usados para buscar e executar instruções, permitindo que o TinyTurla-NG execute comandos por meio do PowerShell ou do prompt de comando (cmd.exe) e baixe/upload de arquivos.
Além disso, o TinyTurla-NG serve como um canal para entregar scripts PowerShell conhecidos como TurlaPower-NG, projetados para exfiltrar material chave usado para proteger bancos de dados de senhas de softwares populares de gerenciamento de senhas na forma de um arquivo ZIP. A campanha é descrita como altamente compartimentada, com um número limitado de sites comprometidos atuando como C2s contatando algumas amostras. Isto torna um desafio passar de uma amostra/C2 para outras que utilizam a mesma infraestrutura, proporcionando confiança na sua natureza relacionada.