TinyTurla-NG 针对波兰目标的后门使用
据观察,与俄罗斯有联系的威胁行为者 Turla 在 2023 年 12 月针对波兰非政府组织开展的为期三个月的活动中使用了名为 TinyTurla-NG 的新后门。根据 Cisco Talos 的技术报告,TinyTurla-NG 的功能是一个小型的“最后机会”后门,旨在当其他未经授权的访问机制失败或在受感染的系统上检测到时使用。
该后门与 TinyTurla 有相似之处,TinyTurla 是该敌对组织至少自 2020 年以来在入侵美国、德国和阿富汗时使用的植入程序。该网络安全公司最初于 2021 年 9 月记录了 TinyTurla。
图拉(Turla),也被称为“钢铁猎手”、“沉思的乌尔萨”、“秘密暴雪”(以前称为“氪星”)、“蛇”、“乌罗布洛斯”和“毒熊”,是俄罗斯国家级威胁行为者,与联邦安全局 (FSB) 有联系。最近几个月,Turla 重点关注乌克兰和东欧的国防部门,部署了一个名为 DeliveryCheck 的新的基于 .NET 的后门。此外,Turla 还升级了其长期存在的第二阶段植入物 Kazuar,该植入物早在 2017 年就投入使用。
TinyTurla-NG 最后一次部署是在 2023 年圣诞节前后
涉及 TinyTurla-NG 的最新活动发生在 2023 年 12 月 18 日至 2024 年 1 月 27 日之间。然而,根据恶意软件编译日期,怀疑表明该活动可能于 2023 年 11 月开始。后门的分发方法仍然未知,但已观察到它使用受感染的基于 WordPress 的网站作为命令和控制 (C2) 端点。这些受感染的站点用于获取和执行指令,从而允许 TinyTurla-NG 通过 PowerShell 或命令提示符 (cmd.exe) 运行命令并下载/上传文件。
此外,TinyTurla-NG 还充当交付称为 TurlaPower-NG 的 PowerShell 脚本的渠道,该脚本旨在以 ZIP 存档的形式泄露用于保护流行密码管理软件的密码数据库的密钥材料。该活动被描述为高度隔离,有限数量的受感染网站充当 C2 来联系一些样本。这使得从一个样本/C2 转向使用相同基础设施的其他样本/C2 变得具有挑战性,从而提供对其相关性质的信心。