Turla olarak bilinen Rusya bağlantılı tehdit aktörü, yeni bir arka kapı kullanılarak gözlemlendi. TinyTurla-NG Aralık 2023’te Polonyalı sivil toplum kuruluşlarını hedef alan üç ay süren bir kampanyanın parçası olarak.
Cisco Talos teknik bir raporda şunları söyledi: “TinyTurla-NG, tıpkı TinyTurla gibi, diğer tüm yetkisiz erişim/arka kapı mekanizmaları başarısız olduğunda veya virüslü sistemlerde tespit edildiğinde kullanılmak üzere geride bırakılan küçük bir ‘son şans’ arka kapısıdır.” bugün yayınlandı.
TinyTurla-NG, en az 2020’den bu yana ABD, Almanya ve Afganistan’ı hedef alan saldırılarda düşman kolektif tarafından kullanılan bir başka implant olan TinyTurla ile benzerlikler sergilemesi nedeniyle bu adı almıştır. TinyTurla ilk olarak Eylül 2021’de siber güvenlik şirketi tarafından belgelenmiştir.
Demir Avcısı, Dalgın Ursa, Gizli Blizzard (eski adıyla Kripton), Yılan, Uroburos ve Zehirli Ayı isimleriyle de bilinen Turla, Federal Güvenlik Servisi’ne (FSB) bağlı, Rus devletine bağlı bir tehdit aktörüdür.
Son aylarda tehdit aktörü, DeliveryCheck adı verilen yeni bir .NET tabanlı arka kapıyla Ukrayna ve Doğu Avrupa’daki savunma sektörünü öne çıkardı ve aynı zamanda Kazuar olarak kullanıma sunduğu temel ikinci aşama implantını da yükseltti. 2017 gibi erken bir tarihte.
TinyTurla-NG’yi içeren son saldırının tarihi 18 Aralık 2023’e kadar uzanıyor ve 27 Ocak 2024’e kadar devam ettiği söyleniyor. Ancak kötü amaçlı yazılım derleme tarihlerine göre faaliyetin aslında Kasım 2023’te başlamış olabileceğinden şüpheleniliyor.
Şu anda arka kapının kurban ortamlarına nasıl dağıtıldığı bilinmiyor, ancak talimatları almak ve yürütmek için güvenliği ihlal edilmiş WordPress tabanlı web sitelerini komut ve kontrol (C2) uç noktaları olarak kullandığı ve PowerShell veya Command aracılığıyla komutları çalıştırmasına olanak sağladığı tespit edildi. İstemi (cmd.exe) ve dosyaları indirme/yükleme.
TinyTurla-NG ayrıca, popüler şifre yönetimi yazılımının şifre veritabanlarını ZIP arşivi biçiminde güvence altına almak için kullanılan anahtar materyali dışarı çıkarmak üzere tasarlanan TurlaPower-NG adlı PowerShell komut dosyalarını dağıtmak için bir kanal görevi görüyor.
Açıklama, Microsoft ve OpenAI’nin, Rusya’daki ulus devlet aktörlerinin uydu iletişim protokollerini, radar görüntüleme teknolojilerini anlamak ve komut dosyası oluşturma konusunda destek aramak için ChatGPT gibi büyük dil modelleri (LLM’ler) dahil olmak üzere üretken yapay zeka (AI) araçlarını araştırdıklarını açıklamasıyla birlikte geldi. görevler.