Turla: Αποκαλύπτει το TinyTurla-NG Backdoor κατά Πολωνικής ΜΚΟ
Τον Δεκέμβριο του 2023, ανακαλύφθηκε νέο backdoor με την ονομασία TinyTurla-NG,που συνδέεται με τη ρώσικη συμμορία Turla, σε μια εκστρατεία που επικεντρωνόταν σε ΜΚΟ της Πολωνίας.
Σύμφωνα με την Cisco Talos, το TinyTurla-NG λειτουργεί ως backdoor “last chance”, παρόμοια με τον προκάτοχό της, το TinyTurla. Αυτό το backdoor χρησιμοποιείται όταν άλλες μη εξουσιοδοτημένες μέθοδοι πρόσβασης αποτυγχάνουν και έχει παρατηρηθεί σε εισβολές από το 2020 και μετά, κυρίως στις Ηνωμένες Πολιτείες, τη Γερμανία και το Αφγανιστάν.
Η Turla, γνωστή επίσης με διάφορα ψευδώνυμα, όπως Iron Hunter και Venomous Bear, συνδέεται με την Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB). Πρόσφατες δραστηριότητες του περιλαμβάνουν επιθέσεις στον τομέα της άμυνας στην Ουκρανία και στην Ανατολική Ευρώπη, χρησιμοποιώντας νέο backdoor βασισμένο σε .NET με το όνομα DeliveryCheck, καθώς και την αναβάθμιση της μακροχρόνιας μόλυνσης δεύτερου σταδίου, γνωστή ως Kazuar.
Η εκστρατεία που χρησιμοποίησε το TinyTurla-NG, διήρκεσε από τις 18 Δεκεμβρίου 2023 έως τις 27 Ιανουαρίου 2024, και φάνηκε να έχει ως στόχο συγκεκριμένες ΜΚΟ στην Πολωνία. Για τον έλεγχο και τις εντολές (C2) χρησιμοποιήθηκαν ιστοσελίδες WordPress, διευκολύνοντας την εκτέλεση εντολών μέσω PowerShell ή Command Prompt. Επιπλέον, το backdoor ανέπτυξε σενάρια PowerShell με το όνομα TurlaPower-NG για την απόσπαση key material από βάσεις δεδομένων, τα οποία αφορούν software διαχείρισης κωδικών.
Η φύση της εκστρατείας, με την αποσπασμένη ύπαρξη λίγων ιστοσελίδων και δειγμάτων που επικοινωνούν μεταξύ τους, καθιστά δύσκολη την δημιουργία σχέσεων μεταξύ των δειγμάτων και της C2 υποδομής.
Παρά την εστίαση της εκστρατείας σε πολωνικούς οργανισμούς, οι προσπάθειες αποτελεσματικού εντοπισμού της προέλευσής της είναι δύσκολες και το πλήρες εύρος της παραμένει αβέβαιο.
