De aan Rusland gelinkte bedreigingsacteur, bekend als Turla, is geobserveerd via een nieuwe achterdeur genaamd TinyTurla-NG als onderdeel van een drie maanden durende campagne gericht tegen Poolse niet-gouvernementele organisaties in december 2023.
“TinyTurla-NG is, net als TinyTurla, een kleine ‘laatste kans’-achterdeur die wordt achtergelaten om te worden gebruikt wanneer alle andere ongeautoriseerde toegang/achterdeurmechanismen hebben gefaald of zijn gedetecteerd op de geïnfecteerde systemen”, aldus Cisco Talos in een technisch rapport vandaag gepubliceerd.
TinyTurla-NG is zo genoemd omdat het overeenkomsten vertoont met TinyTurla, een ander implantaat dat sinds minstens 2020 door het vijandige collectief wordt gebruikt bij inbraken gericht op de VS, Duitsland en Afghanistan. TinyTurla werd voor het eerst gedocumenteerd door het cyberbeveiligingsbedrijf in september 2021.
Turla, ook bekend onder de namen Iron Hunter, Pensive Ursa, Secret Blizzard (voorheen Krypton), Snake, Uroburos en Venomous Bear, is een aan de Russische staat gelieerde dreigingsacteur die banden heeft met de Federale Veiligheidsdienst (FSB).
De afgelopen maanden heeft de bedreigingsactoren de defensiesector in Oekraïne en Oost-Europa uitgekozen met een nieuwe, op .NET gebaseerde achterdeur genaamd DeliveryCheck, terwijl hij ook zijn belangrijke tweede-fase-implantaat, Kazuar genaamd, heeft geüpgraded, dat het in gebruik heeft genomen als al in 2017.
De nieuwste campagne waarbij TinyTurla-NG betrokken was, dateert van 18 december 2023 en zou hebben geduurd tot 27 januari 2024. Er wordt echter vermoed dat de activiteit daadwerkelijk in november 2023 is begonnen op basis van de compilatiedata van de malware.
Het is momenteel niet bekend hoe de achterdeur wordt gedistribueerd naar slachtofferomgevingen, maar er is vastgesteld dat deze gecompromitteerde op WordPress gebaseerde websites gebruikt als command-and-control (C2) eindpunten om instructies op te halen en uit te voeren, waardoor opdrachten via PowerShell of Command kunnen worden uitgevoerd. Prompt (cmd.exe) en download/upload bestanden.
TinyTurla-NG fungeert ook als kanaal om PowerShell-scripts te leveren, genaamd TurlaPower-NG, die zijn ontworpen om sleutelmateriaal te exfiltreren dat wordt gebruikt om de wachtwoorddatabases van populaire wachtwoordbeheersoftware te beveiligen in de vorm van een ZIP-archief.
De onthulling komt op het moment dat Microsoft en OpenAI onthulden dat nationale actoren uit Rusland generatieve kunstmatige intelligentie (AI)-tools onderzoeken, waaronder grote taalmodellen (LLM’s) zoals ChatGPT, om satellietcommunicatieprotocollen en radarbeeldtechnologieën te begrijpen en ondersteuning te zoeken bij scripting. taken.
