Свързаният с Русия престъпен конгломерат, известен като Turla, е наблюдаван да използва нова задна врата, наречена TinyTurla-NG, като част от тримесечна кампания, насочена към полски неправителствени организации през декември 2023 г.
„TinyTurla-NG, също като TinyTurla, е малка задна вратичка „последен шанс“, която се оставя, за да се използва, когато всички други механизми за неоторизиран достъп/задна врата са се провалили или са били открити в заразените системи“, се казва в технически доклад на Cisco Talos, публикуван днес.
TinyTurla-NG е наречен така, тъй като проявява сходство с TinyTurla – друг имплант, използван от противниковия колектив при прониквания, насочени към САЩ, Германия и Афганистан поне от 2020 г. насам. TinyTurla е документиран за първи път от компанията за киберсигурност през септември 2021 г.
Turla, известен също с имената Iron Hunter (Железен ловец), Pensive Ursa (Замислена Урса), Secret Blizzard (преди това Krypton), Snake (Змия), Uroburos (Уробурос) и Venomous Bear (Отровна мечка), е свързана с руската държава заплаха, и по-конкретно с Федералната служба за сигурност (ФСБ), бивше КГБ.
През последните месеци групата се спря на отбранителния сектор в Украйна и Източна Европа с нова задна врата, базирана на .NET, наречена DeliveryCheck, като същевременно надгради основния си имплант от втора степен, наречен Kazuar, който е пуснала в употреба още през 2017 г.
Последната кампания, включваща TinyTurla-NG, датира от 18 декември 2023 г. и се твърди, че е продължила до 27 януари 2024 г. Въпреки това има подозрения, че дейността всъщност може да е започнала през ноември 2023 г. въз основа на датите на съставяне на зловредния софтуер.
Към момента не е известно как задната врата се разпространява в средите на жертвите, но е установено, че използва компрометирани уебсайтове, базирани на WordPress, като крайни точки за командване и управление (C2), за да извлича и изпълнява инструкции, което му позволява да изпълнява команди чрез PowerShell или Command Prompt (cmd.exe), както и да изтегля/качва файлове.
TinyTurla-NG действа и като канал за предоставяне на PowerShell скриптове, наречени TurlaPower-NG, които са предназначени за екфилтриране на ключов материал, използван за защита на базите данни с пароли на популярни софтуери за управление на пароли под формата на ZIP архив.
Разкритието идва в момент, в който Microsoft и OpenAI докладваха, че национални държавни субекти от Русия проучват генеративни инструменти за изкуствен интелект (ИИ), включително големи езикови модели (LLM) като ChatGPT, за да разбират протоколите за сателитна комуникация, технологиите за радарни изображения и да търсят подкрепа при задачите за създаване на скриптове.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.