L’acteur menaçant lié à la Russie, connu sous le nom de Turla, a été observé en train d’utiliser une nouvelle porte dérobée appelée TinyTurla-NG dans le cadre d’une campagne de trois mois ciblant les organisations non gouvernementales polonaises en décembre 2023.
« TinyTurla-NG, tout comme TinyTurla, est une petite porte dérobée de la dernière chance qui est laissée pour être utilisée lorsque tous les autres mécanismes d’accès/porte dérobée non autorisés ont échoué ou ont été détectés sur les systèmes infectés », Cisco Talos dit dans un rapport technique publié aujourd’hui.
TinyTurla-NG doit son nom à ses similitudes avec TinyTurla, un autre implant utilisé par le collectif adverse lors d’intrusions visant les États-Unis, l’Allemagne et l’Afghanistan depuis au moins 2020. TinyTurla a été documenté pour la première fois par la société de cybersécurité en septembre 2021.
Turla, également connu sous les noms d’Iron Hunter, Pensive Ursa, Secret Blizzard (anciennement Krypton), Snake, Uroburos et Venomous Bear, est un acteur menaçant affilié à l’État russe et lié au Service fédéral de sécurité (FSB).
Ces derniers mois, l’acteur malveillant a ciblé le secteur de la défense en Ukraine et en Europe de l’Est avec une nouvelle porte dérobée basée sur .NET appelée DeliveryCheck, tout en mettant à niveau son implant de deuxième étape de base appelé Kazuar, qu’il a utilisé comme dès 2017.
La dernière campagne impliquant TinyTurla-NG remonte au 18 décembre 2023 et se serait poursuivie jusqu’au 27 janvier 2024. Cependant, on soupçonne que l’activité aurait pu effectivement commencer en novembre 2023 sur la base des dates de compilation des logiciels malveillants.
On ne sait pas actuellement comment la porte dérobée est distribuée aux environnements victimes, mais il a été constaté qu’elle utilise des sites Web WordPress compromis comme points de terminaison de commande et de contrôle (C2) pour récupérer et exécuter des instructions, lui permettant d’exécuter des commandes via PowerShell ou Command. Invite (cmd.exe) ainsi que téléchargement/téléchargement de fichiers.
TinyTurla-NG sert également de canal pour fournir des scripts PowerShell baptisés TurlaPower-NG, conçus pour exfiltrer les éléments clés utilisés pour sécuriser les bases de données de mots de passe des logiciels de gestion de mots de passe populaires sous la forme d’une archive ZIP.
Cette divulgation intervient alors que Microsoft et OpenAI ont révélé que des acteurs étatiques russes explorent des outils d’intelligence artificielle (IA) générative, notamment de grands modèles de langage (LLM) comme ChatGPT, pour comprendre les protocoles de communication par satellite, les technologies d’imagerie radar et rechercher de l’aide pour la création de scripts. Tâches.