TinyTurla-NG Backdoor-användningar mot mål i Polen
Hotaktören Turla, associerad med Ryssland, har observerats använda en ny bakdörr vid namn TinyTurla-NG i en tre månader lång kampanj riktad mot polska icke-statliga organisationer i december 2023. Enligt en teknisk rapport från Cisco Talos fungerar TinyTurla-NG som en liten "sista chans" bakdörr, avsedd för användning när andra obehöriga åtkomstmekanismer har misslyckats eller upptäckts på infekterade system.
Denna bakdörr delar likheter med TinyTurla, ett implantat som tidigare använts av den kontradiktoriska gruppen vid intrång mot USA, Tyskland och Afghanistan sedan åtminstone 2020. Cybersäkerhetsföretaget dokumenterade TinyTurla från början i september 2021.
Turla, även känd under alias som Iron Hunter, Pensive Ursa, Secret Blizzard (tidigare Krypton), Snake, Uroburos och Venomous Bear, är en rysk statsanknuten hotaktör med kopplingar till Federal Security Service (FSB). Under de senaste månaderna har Turla fokuserat på försvarssektorn i Ukraina och Östeuropa, och distribuerat en ny .NET-baserad bakdörr som heter DeliveryCheck. Dessutom har Turla uppgraderat sitt långvariga andrastegsimplantat, Kazuar, som användes så tidigt som 2017.
TinyTurla-NG distribuerades senast runt jul 2023
Den senaste kampanjen som involverade TinyTurla-NG ägde rum mellan den 18 december 2023 och den 27 januari 2024. Misstankar tyder dock på att aktiviteten kan ha startat i november 2023 baserat på kompileringsdatum för skadlig programvara. Distributionsmetoden för bakdörren är fortfarande okänd, men den har observerats med komprometterade WordPress-baserade webbplatser som kommando-och-kontroll (C2) slutpunkter. Dessa komprometterade webbplatser används för att hämta och köra instruktioner, vilket gör att TinyTurla-NG kan köra kommandon via PowerShell eller kommandotolken (cmd.exe) och ladda ner/ladda upp filer.
Dessutom fungerar TinyTurla-NG som en kanal för att leverera PowerShell-skript som kallas TurlaPower-NG, designade för att exfiltrera nyckelmaterial som används för att säkra lösenordsdatabaser för populära lösenordshanteringsprogram i form av ett ZIP-arkiv. Kampanjen beskrivs som mycket uppdelad, med ett begränsat antal komprometterade webbplatser som agerar som C2:are som kontaktar några prover. Detta gör det utmanande att pivotera från ett prov/C2 till andra som använder samma infrastruktur, vilket ger förtroende för deras relaterade karaktär.