Se ha observado que el actor de amenazas vinculado a Rusia conocido como Turla utiliza una nueva puerta trasera llamada TinyTurla-NG como parte de una campaña de tres meses dirigida a organizaciones no gubernamentales polacas en diciembre de 2023.
«TinyTurla-NG, al igual que TinyTurla, es una pequeña puerta trasera de ‘última oportunidad’ que se deja atrás para usarse cuando todos los demás mecanismos de acceso/puerta trasera no autorizados fallan o se detectan en los sistemas infectados», Cisco Talos dicho en un informe técnico publicado hoy.
TinyTurla-NG recibe su nombre por mostrar similitudes con TinyTurla, otro implante utilizado por el colectivo adversario en intrusiones dirigidas a Estados Unidos, Alemania y Afganistán desde al menos 2020. TinyTurla fue documentado por primera vez por la empresa de ciberseguridad en septiembre de 2021.
Turla, también conocida con los nombres de Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton), Snake, Uroburos y Venomous Bear, es un actor de amenazas afiliado al estado ruso vinculado al Servicio Federal de Seguridad (FSB).
En los últimos meses, el actor de amenazas ha señalado al sector de defensa en Ucrania y Europa del Este con una novedosa puerta trasera basada en .NET llamada DeliveryCheck, al tiempo que ha actualizado su implante básico de segunda etapa conocido como Kazuar, que ha utilizado como a principios de 2017.
La última campaña que involucra a TinyTurla-NG se remonta al 18 de diciembre de 2023 y se dice que estuvo en curso hasta el 27 de enero de 2024. Sin embargo, se sospecha que la actividad pudo haber comenzado en noviembre de 2023 según las fechas de compilación del malware.
Actualmente no se sabe cómo se distribuye la puerta trasera a los entornos de las víctimas, pero se ha descubierto que emplea sitios web comprometidos basados en WordPress como puntos finales de comando y control (C2) para buscar y ejecutar instrucciones, lo que le permite ejecutar comandos a través de PowerShell o Command. Solicitar (cmd.exe), así como descargar/cargar archivos.
TinyTurla-NG también actúa como un conducto para entregar scripts de PowerShell denominados TurlaPower-NG que están diseñados para filtrar material clave utilizado para proteger las bases de datos de contraseñas del popular software de administración de contraseñas en forma de archivo ZIP.
La divulgación se produce cuando Microsoft y OpenAI revelaron que los actores estatales-nación de Rusia están explorando herramientas de inteligencia artificial (IA) generativa, incluidos grandes modelos de lenguaje (LLM) como ChatGPT, para comprender los protocolos de comunicación por satélite, las tecnologías de imágenes de radar y buscar apoyo con secuencias de comandos. tareas.
