Porta del darrere de TinyTurla-NG

S'ha observat que l'actor d'amenaça de Turla, que es creu que està recolzat per Rússia, empra una nova porta del darrere anomenada TinyTurla-NG en una campanya de tres mesos. L'operació d'atac es va dirigir específicament a organitzacions no governamentals a Polònia a finals de 2023. De manera similar al seu predecessor, TinyTurla, TinyTurla-NG funciona com una porta posterior compacta d'"últim recurs". Es desplega estratègicament per romandre inactiu fins que tots els altres mecanismes d'accés no autoritzat o de porta posterior dels sistemes compromesos han fallat o han estat descoberts.

Anomenat per la seva semblança amb TinyTurla, TinyTurla-NG és un altre implant utilitzat pel col·lectiu adversari en intrusions dirigides als EUA, Alemanya i l'Afganistan des d'almenys el 2020. La companyia de ciberseguretat va documentar inicialment TinyTurla el setembre de 2021.

El grup Turla APT ha estat comprovant objectius alineats amb els interessos de Rússia

Els actors d'amenaça coneguts com a especialistes en ciberseguretat rastregen Turla amb diversos àlies, com ara Iron Hunter, Pensive Ursa, Secret Blizzard (abans Krypton ), Snake , Uroburos i Venomous Bear. Aquest grup de pirates informàtics està afiliat a l'estat rus i vinculat al seu Servei Federal de Seguretat (FSB).

En els darrers mesos, Turla s'ha enfocat específicament al sector de la defensa a Ucraïna i Europa de l'Est, utilitzant una nova porta posterior basada en .NET anomenada DeliveryCheck. Simultàniament, l'actor de l'amenaça ha millorat el seu implant de segona etapa de llarga durada, Kazuar , que s'utilitza almenys des del 2017.

La campanya més recent amb TinyTurla-NG es remunta a finals de 2023 i, segons es diu, va continuar fins al 27 de gener de 2024. Tanmateix, hi ha sospita que l'activitat maliciosa podria haver començat des del novembre de 2023 segons les dates de compilació del programari maliciós associat. .

TinyTurla-NG s’utilitza per al lliurament de programari maliciós Infostealer

El mètode de distribució de la porta del darrere TinyTurla-NG segueix sent desconegut actualment. Tanmateix, s'ha observat que utilitzen llocs web compromesos basats en WordPress com a punts finals de comandament i control (C2). Aquests llocs web serveixen per recuperar i executar instruccions, permetent a TinyTurla-NG executar ordres mitjançant PowerShell o el símbol del sistema (cmd.exe) i facilitar les activitats de descàrrega/càrrega de fitxers.

A més, TinyTurla-NG serveix de conducte per lliurar TurlaPower-NG, que consisteix en scripts de PowerShell dissenyats per extreure informació crucial que s'utilitza per protegir les bases de dades de contrasenyes del popular programari de gestió de contrasenyes. Les dades exfiltrades solen empaquetar-se en un arxiu ZIP.

Aquesta campanya mostra un alt nivell d'orientació, centrada en un nombre selecte d'organitzacions, amb confirmació limitada actualment a les que tenen seu a Polònia. La campanya es caracteritza per una forta compartimentació, on alguns llocs web compromesos que serveixen com a C2 interactuen amb només un nombre limitat de mostres. Aquesta estructura fa que sigui difícil girar d'una mostra/C2 a altres dins de la mateixa infraestructura.

Les portes del darrere permeten que els actors d’amenaça realitzin diverses activitats amenaçadores

Els dispositius infectats amb amenaces de programari maliciós de porta posterior representen perills importants, com ara:

• Accés no autoritzat: les portes del darrere proporcionen un punt d'entrada sigilós per als cibercriminals a un dispositiu. Un cop infectats, els atacants poden obtenir accés no autoritzat, comprometent dades sensibles, informació personal o propietat intel·lectual.
• Robatori de dades i espionatge: les portes del darrere es poden explotar per exfiltrar informació confidencial, com ara registres financers, dades personals o estratègies empresarials. Aquestes dades recollides es poden utilitzar per robar identitat, espionatge corporatiu o vendre a la web fosca.
• Control persistent: les portes posteriors sovint permeten un control persistent sobre un dispositiu compromès. Els atacants poden manipular el dispositiu de forma remota, executar ordres insegures i mantenir l'accés durant períodes prolongats sense que l'usuari ho sàpiga.
• Propagació i moviment lateral: les portes posteriors poden facilitar la propagació de programari maliciós dins d'una xarxa permetent als atacants moure's lateralment d'un dispositiu a un altre. Això pot provocar infeccions generalitzades, cosa que fa que sigui difícil per a les organitzacions contenir i eradicar l'amenaça.
• Desplegament de ransomware: les portes posteriors poden servir com a punt d'entrada per desplegar fitxers de xifratge de ransomware al dispositiu o xarxa infectats. Aleshores, els delinqüents demanen un rescat per la clau de desxifrat, interrompent les operacions normals i causant pèrdues financeres.
• Integritat del sistema compromesa: les portes posteriors poden comprometre la integritat d'un sistema modificant o desactivant les funcions de seguretat. Això podria provocar una sèrie de problemes, inclosa la incapacitat de detectar o eliminar el programari maliciós, deixant el dispositiu vulnerable a una major explotació.
• Atacs a la cadena de subministrament: les portes posteriors es poden injectar al programari o firmware durant el procés de la cadena de subministrament. Els dispositius amb portes posteriors preinstal·lades es poden distribuir a usuaris desprevinguts, cosa que suposa una amenaça important per a les persones, les empreses i fins i tot la infraestructura crítica.

Per mitigar aquests perills, és fonamental que les persones i les organitzacions estableixin mesures sòlides de ciberseguretat, incloses actualitzacions periòdiques de programari, solucions anti-malware, monitorització de xarxes i educació dels usuaris per reconèixer i evitar possibles amenaces.