En diciembre de 2023, se ha observado que el actor de amenazas vinculado a Rusia, conocido como Turla, utiliza una nueva puerta trasera llamada TinyTurla-NG como parte de una campaña de tres meses dirigida a organizaciones no gubernamentales polacas.
«TinyTurla-NG, al igual que TinyTurla, es una pequeña puerta trasera de ‘última oportunidad’ que se deja atrás para ser utilizada cuando todos los demás mecanismos de acceso/puerta trasera no autorizados han fallado o se han detectado en los sistemas infectados», dijo Cisco Talos en un informe técnico publicado hoy.
TinyTurla-NG se llama así por exhibir similitudes con TinyTurla, otro implante utilizado por el colectivo adversario en intrusiones dirigidas a Estados Unidos, Alemania y Afganistán desde al menos 2020. TinyTurla fue documentado por primera vez por la empresa de ciberseguridad en septiembre de 2021.
Turla, también conocido por los nombres de Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, Uroburos y Venomous Bear, es un actor de amenazas afiliado al estado ruso vinculado al Servicio Federal de Seguridad (FSB).
En los últimos meses, el actor de amenazas ha señalado al sector de la defensa en Ucrania y Europa del Este con un novedoso . Puerta trasera basada en NET llamada DeliveryCheck, al mismo tiempo que actualiza su implante básico de segunda etapa conocido como Kazuar, que ha puesto en uso ya en 2017.
La última campaña en la que participa TinyTurla-NG se remonta al 18 de diciembre de 2023 y se dice que ha estado en curso hasta el 27 de enero de 2024. Sin embargo, se sospecha que la actividad puede haber comenzado en noviembre de 2023 según las fechas de compilación del malware.
Actualmente no se sabe cómo se distribuye la puerta trasera a los entornos de las víctimas, pero se ha descubierto que emplea sitios web comprometidos basados en WordPress como puntos finales de comando y control (C2) para obtener y ejecutar instrucciones, lo que le permite ejecutar comandos a través de PowerShell o Símbolo del sistema (cmd.exe), así como descargar/cargar archivos.
TinyTurla-NG también actúa como un conducto para entregar scripts de PowerShell denominados TurlaPower-NG que están diseñados para exfiltrar material clave utilizado para proteger las bases de datos de contraseñas del software de administración de contraseñas popular en forma de un archivo ZIP.
«Esta campaña parece estar muy dirigida y centrada en un pequeño número de organizaciones, de las cuales hasta ahora solo podemos confirmar las que tienen su sede en Polonia», dijo un investigador de Cisco Talos a The Hacker News, señalando que la evaluación se basa en la visibilidad actual.
«Esta campaña está muy compartimentada, unos pocos sitios web comprometidos que actúan como C2 se ponen en contacto con unas pocas muestras, lo que significa que no es fácil pasar de una muestra/C2 a otras utilizando la misma infraestructura que nos daría la confianza de que están relacionados».
La revelación se produce cuando Microsoft y OpenAI revelaron que los actores del estado-nación de Rusia están explorando herramientas de inteligencia artificial (IA) generativa, incluidos los grandes modelos de lenguaje (LLM) como ChatGPT, para comprender los protocolos de comunicación por satélite, las tecnologías de imágenes de radar y buscar apoyo con tareas de scripting.
Fuente: https://thehackernews.com
