TinyTurla-NG 針對波蘭目標的後門使用
據觀察,與俄羅斯有聯繫的威脅行為者Turla 在2023 年12 月針對波蘭非政府組織開展的為期三個月的活動中使用了名為TinyTurla-NG 的新後門。根據Cisco Talos 的技術報告,TinyTurla -NG 的功能是一個小的「最後機會」後門,旨在當其他未經授權的存取機制失敗或在受感染的系統上檢測到時使用。
該後門與 TinyTurla 有相似之處,TinyTurla 是該敵對組織至少自 2020 年以來在入侵美國、德國和阿富汗時使用的植入程序。該網路安全公司最初於 2021 年 9 月記錄了 TinyTurla。
圖拉(Turla),也被稱為「鋼鐵獵人」、「沉思的烏爾薩」、「秘密暴雪」(以前稱為「氪星」)、「蛇」、「烏羅布洛斯」和「毒熊”,是俄羅斯國家級威脅行為者,與聯邦安全局(FSB) 有聯繫。最近幾個月,Turla 專注於烏克蘭和東歐的國防部門,部署了一個名為 DeliveryCheck 的新的基於 .NET 的後門。此外,Turla 還升級了其長期存在的第二階段植入物 Kazuar,該植入物早在 2017 年就投入使用。
TinyTurla-NG 最後一次部署是在 2023 年聖誕節前後
涉及 TinyTurla-NG 的最新活動發生在 2023 年 12 月 18 日至 2024 年 1 月 27 日之間。然而,根據惡意軟體編譯日期,懷疑表明該活動可能在 2023 年 11 月開始。後門的分發方法仍然未知,但已觀察到它使用受感染的基於 WordPress 的網站作為命令和控制 (C2) 端點。這些受感染的網站用於取得和執行指令,從而允許 TinyTurla-NG 透過 PowerShell 或命令提示字元 (cmd.exe) 執行命令並下載/上傳檔案。
此外,TinyTurla-NG 還充當交付稱為 TurlaPower-NG 的 PowerShell 腳本的管道,該腳本旨在以 ZIP 存檔的形式洩露用於保護流行密碼管理軟體的密碼資料庫的金鑰材料。該活動被描述為高度隔離,有限數量的受感染網站充當 C2 來聯繫一些樣本。這使得從一個樣本/C2 轉向使用相同基礎設施的其他樣本/C2 變得具有挑戰性,從而提供對其相關性質的信心。