Porta sul retro di TinyTurla-NG

L'autore della minaccia Turla, che si ritiene sia sostenuto dalla Russia, è stato osservato mentre utilizzava una nuova backdoor denominata TinyTurla-NG in una campagna durata tre mesi. L'operazione di attacco ha preso di mira specificamente le organizzazioni non governative in Polonia verso la fine del 2023. Similmente al suo predecessore, TinyTurla, TinyTurla-NG funziona come una backdoor compatta di "ultima risorsa". È strategicamente implementato per rimanere inattivo fino a quando tutti gli altri meccanismi di accesso non autorizzati o backdoor sui sistemi compromessi non falliscono o vengono scoperti.

Chiamato così per la sua somiglianza con TinyTurla, TinyTurla-NG è un altro impianto utilizzato dal collettivo avversario nelle intrusioni contro Stati Uniti, Germania e Afghanistan almeno dal 2020. La società di sicurezza informatica ha inizialmente documentato TinyTurla nel settembre 2021.

Il gruppo Turla APT ha concordato obiettivi in linea con gli interessi della Russia

Gli autori delle minacce noti come specialisti della sicurezza informatica rintracciano Turla sotto vari pseudonimi, tra cui Iron Hunter, Pensive Ursa, Secret Blizzard (ex Krypton ), Snake , Uroburos e Venomous Bear. Questo gruppo di hacker è affiliato allo Stato russo e collegato al Servizio di sicurezza federale (FSB).

Negli ultimi mesi, Turla ha preso di mira specificamente il settore della difesa in Ucraina e nell'Europa orientale, utilizzando una nuova backdoor basata su .NET denominata DeliveryCheck. Allo stesso tempo, l’autore della minaccia ha aggiornato il suo impianto di seconda fase di lunga data, Kazuar , in uso almeno dal 2017.

L'ultima campagna contro TinyTurla-NG risale alla fine del 2023 e, secondo quanto riferito, è continuata fino al 27 gennaio 2024. Tuttavia, sulla base delle date di compilazione del malware associato, si sospetta che l'attività dannosa possa essere iniziata già nel novembre 2023. .

TinyTurla-NG viene utilizzato per la distribuzione di malware Infostealer

Il metodo di distribuzione della backdoor TinyTurla-NG al momento non è noto. Tuttavia, è stato osservato che utilizzavano siti Web compromessi basati su WordPress come endpoint di comando e controllo (C2). Questi siti Web servono per recuperare ed eseguire istruzioni, consentendo a TinyTurla-NG di eseguire comandi tramite PowerShell o Prompt dei comandi (cmd.exe) e facilitare le attività di download/caricamento di file.

Inoltre, TinyTurla-NG funge da canale per la distribuzione di TurlaPower-NG, che consiste in script PowerShell progettati per estrarre informazioni cruciali utilizzate per proteggere i database delle password dei più diffusi software di gestione delle password. I dati esfiltrati vengono generalmente impacchettati in un archivio ZIP.

Questa campagna presenta un elevato livello di targeting, concentrandosi su un numero selezionato di organizzazioni, con conferma attualmente limitata a quelle con sede in Polonia. La campagna è caratterizzata da una forte compartimentazione, in cui alcuni siti Web compromessi che fungono da C2 interagiscono solo con un numero limitato di campioni. Questa struttura rende difficile il passaggio da un campione/C2 ad altri all'interno della stessa infrastruttura.

Le backdoor consentono agli autori delle minacce di eseguire varie attività minacciose

I dispositivi infettati da minacce malware backdoor pongono pericoli significativi, tra cui:

• Accesso non autorizzato: le backdoor forniscono ai criminali informatici un punto di ingresso nascosto in un dispositivo. Una volta infettati, gli aggressori possono ottenere un accesso non autorizzato, compromettendo dati sensibili, informazioni personali o proprietà intellettuale.
• Furto di dati e spionaggio: le backdoor possono essere sfruttate per esfiltrare informazioni riservate, come documenti finanziari, dettagli personali o strategie aziendali. Questi dati raccolti possono essere utilizzati per furto di identità, spionaggio aziendale o venduti sul Dark Web.
• Controllo persistente: le backdoor spesso consentono il controllo persistente su un dispositivo compromesso. Gli aggressori possono manipolare da remoto il dispositivo, eseguire comandi non sicuri e mantenere l'accesso per periodi prolungati all'insaputa dell'utente.
• Propagazione e movimento laterale: le backdoor possono facilitare la diffusione del malware all'interno di una rete consentendo agli aggressori di spostarsi lateralmente da un dispositivo all'altro. Ciò può portare a infezioni diffuse, rendendo difficile per le organizzazioni contenere ed eliminare la minaccia.
• Distribuzione del ransomware: le backdoor possono fungere da punto di ingresso per la distribuzione dei file di crittografia del ransomware sul dispositivo o sulla rete infetta. I criminali richiedono quindi un riscatto per la chiave di decrittazione, interrompendo le normali operazioni e causando perdite finanziarie.
• Integrità del sistema compromessa: le backdoor possono compromettere l'integrità di un sistema modificando o disabilitando le funzionalità di sicurezza. Ciò potrebbe portare a una serie di problemi, inclusa l’impossibilità di rilevare o rimuovere il malware, lasciando il dispositivo vulnerabile a ulteriori sfruttamenti.
• Attacchi alla catena di fornitura: le backdoor possono essere inserite nel software o nel firmware durante il processo della catena di fornitura. I dispositivi con backdoor preinstallate possono essere distribuiti a utenti ignari, rappresentando una minaccia significativa per individui, aziende e persino infrastrutture critiche.

Per mitigare questi pericoli, è fondamentale che gli individui e le organizzazioni istituiscano solide misure di sicurezza informatica, inclusi aggiornamenti regolari del software, soluzioni anti-malware, monitoraggio della rete ed educazione degli utenti sul riconoscimento e sull’evitamento di potenziali minacce.