El grupo de atacantes relacionado con Rusia, conocido como Turla, infectó múltiples sistemas de una organización no gubernamental (ONG) europea no revelada para implantar una puerta trasera denominada TinyTurla-NG.
Según un nuevo informe publicado hoy por Cisco Talos, «Los atacantes comprometieron inicialmente un sistema, establecieron persistencia y agregaron exclusiones a los productos antivirus que se ejecutan en estos endpoints como parte de sus acciones preliminares posteriores al compromiso». Además, «Turla abrió canales de comunicación adicionales a través de Chisel para la exfiltración de datos y para pivotar hacia sistemas adicionales accesibles en la red».
TinyTurla-NG, un malware recientemente documentado por Cisco Talos, se ha asociado con un ciberataque dirigido a una ONG polaca que trabaja para mejorar la democracia polaca y apoyar a Ucrania durante la invasión rusa. Según Cisco Talos, la campaña parece estar altamente dirigida, con un enfoque en un pequeño número de organizaciones, la mayoría de las cuales se encuentran en Polonia. Esta revelación se produjo el mes pasado y resalta la creciente sofisticación de los ataques cibernéticos dirigidos en la región.
La cadena de ataque de Turla incluye la explotación de su acceso inicial para configurar exclusiones en el antivirus Microsoft Defender, lo que le permite evadir la detección y mantener su malware, conocido como TinyTurla-NG. Para ocultarse, el malware crea un servicio malicioso llamado «sdm», que se disfraza como el servicio legítimo «Administrador de dispositivos del sistema».
TinyTurla-NG funciona como una puerta trasera, permitiendo al atacante llevar a cabo tareas de reconocimiento, filtrar archivos de interés hacia un servidor de comando y control (C2), y desplegar una versión personalizada del software de túnel Chisel. Aunque aún se está investigando la ruta exacta de la intrusión.
Los investigadores de Talos explicaron que una vez que los atacantes acceden a un nuevo sistema, repiten estas acciones para crear exclusiones en Microsoft Defender, eliminar el malware y establecer persistencia en el sistema
Fuente: https://thehackernews.com
