Haker povezan s Rusijom poznat kao Turla je primijećen kako koristi novi backdoor pod nazivom TinyTurla-NG kao dio tromjesečne kampanje usmjerene na poljske nevladine organizacije u decembru 2023.
“TinyTurla-NG, baš kao i TinyTurla, je mali ‘posljednja šansa’ backdoor koji se ostavlja da se koristi kada se svi drugi neovlašteni pristupi/backdoor mehanizmi pokvare ili budu otkriveni na zaraženim sistemima”, navodi Cisco Talos u tehničkom izvještaju objavljeno danas.
TinyTurla-NG je tako nazvan po tome što pokazuje sličnosti sa TinyTurlom, još jednim implantom koji je neprijateljski kolektiv koristio u upadima usmjerenim na SAD, Njemačku i Afganistan najmanje od 2020. godine. TinyTurla je prvi put dokumentovala kompanija za sajber sigurnost u septembru 2021. godine.
Turla, poznat i pod imenima Iron Hunter, Pensive Ursa, Secret Blizzard (ranije Krypton), Snake, Uroburos i Venomous Bear, je haker povezan s ruskom državom i Federalnom službom sigurnosti (FSB).
Proteklih mjeseci, haker je izdvojio sektor odbrane u Ukrajini i istočnoj Evropi s novim backdoor-om zasnovanim na .NET-u pod nazivom DeliveryCheck, dok je također nadogradio svoj osnovni implantat druge faze koji se naziva Kazuar, koji je koristio već od 2017.
Najnovija kampanja koja uključuje TinyTurla-NG datira od 18. decembra 2023. i navodno je trajala do 27. januara 2024. Međutim, sumnja se da je aktivnost zapravo počela u novembru 2023. na osnovu datuma kompilacije malvera.
Trenutno nije poznato kako se backdoor distribuiše u okruženja žrtve, ali je utvrđeno da koristi kompromitovane web stranice zasnovane na WordPressu kao krajnje tačke za naredbu i kontrolu (C2) za dohvaćanje i izvršavanje instrukcija, omogućavajući mu pokretanje komandi putem PowerShell-a ili Command Prompt-a (cmd.exe) kao i preuzimanje/prijenos datoteka.
TinyTurla-NG također djeluje kao kanal za isporuku PowerShell skripti nazvanih TurlaPower-NG koje su dizajnirane da eksfiltriraju ključni materijal koji se koristi za osiguranje baza podataka lozinki popularnog softvera za upravljanje lozinkama u obliku ZIP arhive.
“Čini se da je ova kampanja visoko ciljana i fokusirana na mali broj organizacija, od kojih do sada možemo potvrditi samo one sa sjedištem u Poljskoj”, rekao je istraživač Cisco Talosa za Hacker News, napominjujući da je procjena zasnovana na trenutnoj vidljivosti.
“Ova kampanja je vrlo podijeljena, nekoliko kompromitovanih web stranica koje djeluju kao C2-ovi kontaktiraju nekoliko uzoraka, što znači da nije lako okretati se s jednog uzorka/C2 na druge koristeći istu infrastrukturu koja bi nam dala povjerenje da su povezani.”
Objava dolazi kada su Microsoft i OpenAI otkrili da hakeri nacionalne države iz Rusije istražuju alate generativne umjetne inteligencije (AI), uključujući velike jezičke modele (LLM) kao što je ChatGPT, kako bi razumjeli protokole satelitske komunikacije, tehnologije radarskog snimanja i tražili podršku sa skriptiranjem zadataka.
Izvor: The Hacker News
