TinyTurla-NG 後門

據觀察，據信受到俄羅斯支持的 Turla 威脅行為者在為期三個月的活動中使用了名為 TinyTurla-NG 的新後門。這次攻擊行動專門針對 2023 年底波蘭的非政府組織。與其前身 TinyTurla 類似，TinyTurla-NG 充當緊湊的「最後手段」後門。它被策略性地部署為保持休眠狀態，直到受感染系統上的所有其他未經授權的存取或後門機制失敗或被發現。

TinyTurla-NG 因其與TinyTurla 相似而得名，它是敵對組織至少自2020 年以來在針對美國、德國和阿富汗的入侵中使用的另一種植入程序。該網絡安全公司最初於2021 年9 月記錄了TinyTurla。

Turla APT 集團一直在妥協符合俄羅斯利益的目標

被稱為網路安全專家的威脅行為者以各種化名追蹤 Turla，包括 Iron Hunter、Peptic Ursa、Secret Blizzard（以前稱為Krypton ）、 Snake 、 Uroburos和 Venomous Bear。該駭客組織隸屬於俄羅斯政府，並與其聯邦安全局（FSB）有聯繫。

最近幾個月，Turla 特別針對烏克蘭和東歐的國防部門，採用了一種名為 DeliveryCheck 的新的基於 .NET 的後門。同時，威脅行為者也升級了其長期存在的第二階段植入程序Kazuar ，該程序至少從 2017 年就開始使用。

最近一次以TinyTurla-NG 為特色的活動可以追溯到2023 年底，據報道一直持續到2024 年1 月27 日。但是，根據相關惡意軟體的編譯日期，有人懷疑惡意活動可能早在2023 年11 月就開始了。

TinyTurla-NG 用於傳播 Infostealer 惡意軟體

目前TinyTurla-NG後門的分佈方式尚不清楚。然而，據觀察，有人利用受感染的基於 WordPress 的網站作為命令和控制 (C2) 端點。這些網站用於檢索和執行命令，允許 TinyTurla-NG 透過 PowerShell 或命令提示字元 (cmd.exe) 執行命令並促進檔案下載/上傳活動。

此外，TinyTurla-NG 還充當交付 TurlaPower-NG 的管道，TurlaPower-NG 由 PowerShell 腳本組成，旨在洩露用於保護流行密碼管理軟體的密碼資料庫的關鍵資訊。洩漏的資料通常會打包到 ZIP 檔案中。

該活動具有較高的針對性，重點關注選定的一些組織，目前確認僅限於位於波蘭的組織。該活動的特點是強烈的隔離性，其中一些充當 C2 的受感染網站僅與有限數量的樣本進行互動。這種結構使得在同一基礎設施內從一個樣本/C2 轉向其他樣本/C2 變得具有挑戰性。

後門允許威脅行為者執行各種威脅活動

感染後門惡意軟體威脅的設備會帶來重大危險，包括：

• 未經授權的存取：後門為網路犯罪分子提供了進入設備的秘密入口點。一旦被感染，攻擊者就可以獲得未經授權的訪問，從而損害敏感資料、個人資訊或智慧財產權。
• 資料竊取和間諜活動：後門可被用來洩露機密信息，例如財務記錄、個人詳細資料或業務策略。收集到的資料可能用於身分盜竊、企業間諜活動或在暗網上出售。
• 持久控制：後門通常可以實現對受感染設備的持久控制。攻擊者可以在使用者不知情的情況下遠端操縱設備、執行不安全的命令以及長時間保持存取。
• 傳播和橫向移動：後門允許攻擊者從一台設備橫向移動到另一台設備，從而促進惡意軟體在網路內的傳播。這可能會導致廣泛的感染，使組織難以遏制和消除威脅。
• 勒索軟體部署：後門可以作為在受感染設備或網路上部署勒索軟體加密檔案的入口點。然後，犯罪分子索要解密金鑰的贖金，從而擾亂正常操作並造成經濟損失。
• 損害系統完整性：後門可能會透過修改或停用安全功能來損害系統的完整性。這可能會導致一系列問題，包括無法檢測或刪除惡意軟體，從而使設備容易受到進一步利用。
• 供應鏈攻擊：後門可以在供應鏈過程中註入軟體或韌體中。預先安裝後門的設備可以分發給毫無戒心的用戶，對個人、企業甚至關鍵基礎設施構成重大威脅。

為了減輕這些危險，個人和組織必須建立強大的網路安全措施，包括定期軟體更新、反惡意軟體解決方案、網路監控以及有關識別和避免潛在威脅的用戶教育。