O ator de ameaças associado à Rússia conhecido como Turla foi observado utilizando um novo backdoor chamado TinyTurla-NG como parte de uma campanha de três meses mirando organizações não governamentais polonesas em dezembro de 2023.
"TinyTurla-NG, assim como o TinyTurla, é um pequeno backdoor de 'última chance' que é deixado para trás para ser usado quando todos os outros mecanismos de acesso/backdoor não autorizados falharam ou foram detectados nos sistemas infectados", disse a Cisco Talos em um relatório técnico publicado hoje.
TinyTurla-NG é assim chamado por exibir semelhanças com o TinyTurla, outro implante utilizado pelo coletivo adversarial em intrusões destinadas aos EUA, Alemanha e Afeganistão desde pelo menos 2020.
O TinyTurla foi documentado pela primeira vez pela empresa de segurança cibernética em setembro de 2021.
Turla, também conhecido pelos nomes Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, Uroburos, e Venomous Bear, é um ator de ameaça afiliado ao estado russo ligado ao Serviço de Segurança Federal (FSB).
Nos últimos meses, o ator de ameaça tem singularizado o setor de defesa na Ucrânia e na Europa Oriental com um novo backdoor baseado em .NET chamado DeliveryCheck, enquanto também atualiza seu segundo estágio de implante referido como Kazuar, que ele tem usado desde 2017.
A última campanha envolvendo o TinyTurla-NG remonta a 18 de dezembro 2023, e diz-se ter sido mantida até 27 de janeiro de 2024.
No entanto, suspeita-se que a atividade pode ter realmente começado em novembro de 2023, com base nas datas de compilação do malware.
Atualmente, não se sabe como o backdoor é distribuído para os ambientes das vítimas, mas foi encontrado para utilizar sites baseados em WordPress comprometidos como endpoints de comando e controle (C2) para buscar e executar instruções, permitindo que ele execute comandos via PowerShell ou Command Prompt (cmd.exe) bem como baixa/envia arquivos.
TinyTurla-NG também atua como um conduto para entregar scripts PowerShell apelidados de TurlaPower-NG que são projetados para exfiltrar material chave usado para proteger os bancos de dados de senhas do popular software de gerenciamento de senhas na forma de um arquivo ZIP.
"Esta campanha parece ser altamente direcionada e focada em um pequeno número de organizações, das quais até agora só podemos confirmar as baseadas na Polônia", disse um pesquisador da Cisco Talos ao The Hacker News, observando que a avaliação se baseia na visibilidade atual.
"Esta campanha é altamente compartimentada, alguns sites comprometidos agindo como C2s entram em contato com algumas amostras, o que significa que não é fácil pivotar de uma amostra/C2 para outros usando a mesma infraestrutura que nos daria confiança de que eles estão relacionados."
A divulgação ocorre quando a Microsoft e a OpenAI revelaram que atores de estado-nação da Rússia estão explorando ferramentas de inteligência artificial (AI) gerativas, incluindo modelos de linguagem grandes (LLMs) como o ChatGPT, para entender protocolos de comunicação por satélite, tecnologias de imagens de radar e procurar apoio com tarefas de scripting.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...