TinyTurla-NG 后门

据观察，据信受到俄罗斯支持的 Turla 威胁行为者在为期三个月的活动中使用了名为 TinyTurla-NG 的新后门。这次攻击行动专门针对 2023 年底波兰的非政府组织。与其前身 TinyTurla 类似，TinyTurla-NG 充当紧凑的“最后手段”后门。它被战略性地部署为保持休眠状态，直到受感染系统上的所有其他未经授权的访问或后门机制失败或被发现。

TinyTurla-NG 因其与 TinyTurla 相似而得名，它是敌对组织至少自 2020 年以来在针对美国、德国和阿富汗的入侵中使用的另一种植入程序。该网络安全公司最初于 2021 年 9 月记录了 TinyTurla。

Turla APT 集团一直在妥协符合俄罗斯利益的目标

被称为网络安全专家的威胁行为者以各种化名追踪 Turla，包括 Iron Hunter、Peptic Ursa、Secret Blizzard（以前称为Krypton ）、 Snake 、 Uroburos和 Venomous Bear。该黑客组织隶属于俄罗斯政府，并与其联邦安全局（FSB）有联系。

最近几个月，Turla 特别针对乌克兰和东欧的国防部门，采用了一种名为 DeliveryCheck 的新的基于 .NET 的后门。与此同时，威胁行为者还升级了其长期存在的第二阶段植入程序Kazuar ，该植入程序至少从 2017 年就开始使用。

最近一次以 TinyTurla-NG 为特色的活动可以追溯到 2023 年底，据报道一直持续到 2024 年 1 月 27 日。但是，根据相关恶意软件的编译日期，有人怀疑恶意活动可能早在 2023 年 11 月就开始了。

TinyTurla-NG 用于传播 Infostealer 恶意软件

目前TinyTurla-NG后门的分布方式尚不清楚。然而，据观察，有人利用受感染的基于 WordPress 的网站作为命令和控制 (C2) 端点。这些网站用于检索和执行指令，允许 TinyTurla-NG 通过 PowerShell 或命令提示符 (cmd.exe) 执行命令并促进文件下载/上传活动。

此外，TinyTurla-NG 还充当交付 TurlaPower-NG 的渠道，TurlaPower-NG 由 PowerShell 脚本组成，旨在泄露用于保护流行密码管理软件的密码数据库的关键信息。泄露的数据通常打包到 ZIP 存档中。

该活动具有较高的针对性，重点关注选定的一些组织，目前确认仅限于位于波兰的组织。该活动的特点是强烈的隔离性，其中一些充当 C2 的受感染网站仅与有限数量的样本进行交互。这种结构使得在同一基础设施内从一个样本/C2 转向其他样本/C2 变得具有挑战性。

后门允许威胁行为者执行各种威胁活动

感染后门恶意软件威胁的设备会带来重大危险，包括：

• 未经授权的访问：后门为网络犯罪分子提供了进入设备的秘密入口点。一旦被感染，攻击者就可以获得未经授权的访问，从而损害敏感数据、个人信息或知识产权。
• 数据盗窃和间谍活动：后门可被用来泄露机密信息，例如财务记录、个人详细信息或业务策略。收集到的数据可能用于身份盗窃、企业间谍活动或在暗网上出售。
• 持久控制：后门通常可以实现对受感染设备的持久控制。攻击者可以在用户不知情的情况下远程操纵设备、执行不安全的命令以及长时间保持访问。
• 传播和横向移动：后门允许攻击者从一台设备横向移动到另一台设备，从而促进恶意软件在网络内的传播。这可能会导致广泛的感染，使组织难以遏制和消除威胁。
• 勒索软件部署：后门可以作为在受感染设备或网络上部署勒索软件加密文件的入口点。然后，犯罪分子索要解密密钥的赎金，从而扰乱正常操作并造成经济损失。
• 损害系统完整性：后门可能会通过修改或禁用安全功能来损害系统的完整性。这可能会导致一系列问题，包括无法检测或删除恶意软件，从而使设备容易受到进一步利用。
• 供应链攻击：后门可以在供应链过程中注入软件或固件中。预装后门的设备可以分发给毫无戒心的用户，对个人、企业甚至关键基础设施构成重大威胁。

为了减轻这些危险，个人和组织必须建立强大的网络安全措施，包括定期软件更新、反恶意软件解决方案、网络监控以及有关识别和避免潜在威胁的用户教育。