Turla olarak bilinen Rusya bağlantılı tehdit aktörü, adı açıklanmayan bir Avrupa sivil toplum kuruluşuna (STK) ait çeşitli sistemlere virüs bulaştırarak, adı verilen bir arka kapıyı dağıttı. TinyTurla-NG.
Cisco Talos bugün yayınlanan yeni bir raporda, “Saldırganlar ilk sistemi tehlikeye attı, kalıcılık sağladı ve bu uç noktalarda çalışan antivirüs ürünlerine, uzlaşma sonrası ilk eylemlerinin bir parçası olarak istisnalar ekledi.” dedi.
“Turla daha sonra veri sızdırmak ve ağdaki erişilebilir ek sistemlere geçiş yapmak için Chisel aracılığıyla ek iletişim kanalları açtı.”
Virüs bulaşan sistemlerin Ekim 2023 gibi erken bir tarihte ihlal edildiğini, Chisel'in Aralık 2023'te konuşlandırıldığını ve araç aracılığıyla veri sızıntısının bir ay sonra, 12 Ocak 2024 civarında gerçekleştiğini gösteren kanıtlar var.
TinyTurla-NG, Polonya demokrasisini geliştirmek ve Rus işgali sırasında Ukrayna'yı desteklemek için çalışan Polonyalı bir STK'yı hedef alan bir siber saldırıyla bağlantılı olarak kullanıldığı tespit edildikten sonra ilk olarak geçen ay siber güvenlik şirketi tarafından belgelendi.
Cisco Talos, o dönemde The Hacker News'e, kampanyanın oldukça hedefli göründüğünü ve çoğu Polonya'da bulunan az sayıda kuruluşa odaklandığını söylemişti.
Saldırı zinciri, Turla'nın tespitten kaçınmak ve TinyTurla-NG'yi bırakmak için Microsoft Defender antivirüs hariç tutmalarını yapılandırmak üzere ilk erişimlerini kullanmasını içeriyor; bu daha sonra bir “Sistem Aygıt Yöneticisi” hizmeti gibi görünen kötü amaçlı bir “sdm” hizmeti oluşturularak sürdürülür.
TinyTurla-NG, takip eden keşif gerçekleştirmek, ilgilenilen dosyaları bir komuta ve kontrol (C2) sunucusuna sızdırmak ve Chisel tünel açma yazılımının özel olarak oluşturulmuş bir sürümünü dağıtmak için bir arka kapı görevi görüyor. Kesin izinsiz giriş yolu halen araştırılmaktadır.
Talos araştırmacıları, “Saldırganlar yeni bir kutuya erişim sağladıktan sonra Microsoft Defender istisnaları oluşturmak, kötü amaçlı yazılım bileşenlerini bırakmak ve kalıcılık oluşturmak için faaliyetlerini tekrarlayacaklar” dedi.