Использование бэкдора TinyTurla-NG против целей в Польше

Связанный с Россией злоумышленник Turla был замечен в использовании нового бэкдора под названием TinyTurla-NG в ходе трехмесячной кампании, направленной против польских неправительственных организаций в декабре 2023 года. Согласно техническому отчету Cisco Talos, TinyTurla-NG функционирует как небольшой бэкдор «последнего шанса», предназначенный для использования, когда другие механизмы несанкционированного доступа дали сбой или были обнаружены в зараженных системах.

Этот бэкдор имеет сходство с TinyTurla, имплантатом, который ранее использовался злоумышленниками во вторжениях в США, Германию и Афганистан, по крайней мере, с 2020 года. Компания по кибербезопасности первоначально задокументировала TinyTurla в сентябре 2021 года.

Turla, также известная под такими псевдонимами, как «Железный охотник», «Задумчивая медведица», «Секретная метель» (ранее «Криптон»), «Змея», «Уробурос» и «Ядовитый медведь», является российским государственным злоумышленником, имеющим связи с Федеральной службой безопасности (ФСБ). В последние месяцы Turla сосредоточилась на оборонном секторе Украины и Восточной Европы, развернув новый бэкдор на базе .NET под названием DeliveryCheck. Кроме того, Turla модернизировала свой давний имплант второй стадии Kazuar, используемый еще в 2017 году.

Последний раз TinyTurla-NG был развернут к Рождеству 2023 года

Последняя кампания с участием TinyTurla-NG проходила в период с 18 декабря 2023 г. по 27 января 2024 г. Однако, судя по датам компиляции вредоносного ПО, есть подозрения, что эта деятельность могла начаться в ноябре 2023 г. Метод распространения бэкдора остается неизвестным, но было замечено использование скомпрометированных веб-сайтов на базе WordPress в качестве конечных точек управления и контроля (C2). Эти взломанные сайты используются для получения и выполнения инструкций, что позволяет TinyTurla-NG запускать команды через PowerShell или командную строку (cmd.exe), а также загружать/загружать файлы.

Кроме того, TinyTurla-NG служит каналом для доставки сценариев PowerShell, известных как TurlaPower-NG, предназначенных для извлечения ключевого материала, используемого для защиты баз данных паролей популярного программного обеспечения для управления паролями, в форме ZIP-архива. Кампания описывается как сильно разрозненная: ограниченное количество взломанных веб-сайтов выступает в роли C2, связываясь с несколькими образцами. Это затрудняет переход от одной выборки/C2 к другим, используя ту же инфраструктуру, обеспечивая уверенность в их родственной природе.