Свързаният с Русия престъпен конгломерат, известен като Turla, е наблюдаван да използва нова задна врата, наречена TinyTurla-NG, като част от тримесечна кампания, насочена към полски неправителствени организации през декември 2023 г.

„TinyTurla-NG, също като TinyTurla, е малка задна вратичка „последен шанс“, която се оставя, за да се използва, когато всички други механизми за неоторизиран достъп/задна врата са се провалили или са били открити в заразените системи“, се казва в технически доклад на Cisco Talos, публикуван днес.

TinyTurla-NG е наречен така, тъй като проявява сходство с TinyTurla – друг имплант, използван от противниковия колектив при прониквания, насочени към САЩ, Германия и Афганистан поне от 2020 г. насам. TinyTurla е документиран за първи път от компанията за киберсигурност през септември 2021 г.

Turla, известен също с имената Iron Hunter (Железен ловец), Pensive Ursa (Замислена Урса), Secret Blizzard (преди това Krypton), Snake (Змия), Uroburos (Уробурос) и Venomous Bear (Отровна мечка), е свързана с руската държава  заплаха, и по-конкретно  с Федералната служба за сигурност (ФСБ), бивше КГБ.

През последните месеци групата се спря на отбранителния сектор в Украйна и Източна Европа с нова задна врата, базирана на .NET, наречена DeliveryCheck, като същевременно надгради основния си имплант от втора степен, наречен Kazuar, който е пуснала в употреба още през 2017 г.

Последната кампания, включваща TinyTurla-NG, датира от 18 декември 2023 г. и се твърди, че е продължила до 27 януари 2024 г. Въпреки това има подозрения, че дейността всъщност може да е започнала през ноември 2023 г. въз основа на датите на съставяне на зловредния софтуер.

Към момента не е известно как задната врата се разпространява в средите на жертвите, но е установено, че използва компрометирани уебсайтове, базирани на WordPress, като крайни точки за командване и управление (C2), за да извлича и изпълнява инструкции, което му позволява да изпълнява команди чрез PowerShell или Command Prompt (cmd.exe), както и да изтегля/качва файлове.

TinyTurla-NG действа и като канал за предоставяне на PowerShell скриптове, наречени TurlaPower-NG, които са предназначени за екфилтриране на ключов материал, използван за защита на базите данни с пароли на популярни софтуери за управление на пароли под формата на ZIP архив.

Разкритието идва в момент, в който Microsoft и OpenAI докладваха, че национални държавни субекти от Русия проучват генеративни инструменти за изкуствен интелект (ИИ), включително големи езикови модели (LLM) като ChatGPT, за да разбират протоколите за сателитна комуникация, технологиите за радарни изображения и да търсят подкрепа при задачите за създаване на скриптове.

 

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
Бъдете социални
Още по темата
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
06/02/2025

Руските хакери са използвал...

Руски групи за заплахи са провеждали...
06/02/2025

Блокбъстъра DeepSeek е свър...

Уебсайтът на китайската компания за изкуствен...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!