Puerta trasera TinyTurla-NG

Se ha observado que el actor de amenazas Turla, que se cree que cuenta con el respaldo de Rusia, emplea una nueva puerta trasera llamada TinyTurla-NG en una campaña que duró tres meses. La operación de ataque se dirigió específicamente a organizaciones no gubernamentales en Polonia a finales de 2023. Al igual que su predecesor, TinyTurla, TinyTurla-NG funciona como una puerta trasera compacta de "último recurso". Se implementa estratégicamente para permanecer inactivo hasta que todos los demás mecanismos de acceso no autorizado o de puerta trasera en los sistemas comprometidos hayan fallado o hayan sido descubiertos.

TinyTurla-NG, llamado así por su parecido con TinyTurla, es otro implante utilizado por el colectivo adversario en intrusiones dirigidas a EE. UU., Alemania y Afganistán desde al menos 2020. La empresa de ciberseguridad documentó inicialmente a TinyTurla en septiembre de 2021.

El grupo Turla APT ha estado comprometiendo objetivos alineados con los intereses de Rusia

Los actores de amenazas conocidos como especialistas en ciberseguridad rastrean a Turla bajo varios alias, incluidos Iron Hunter, Pensive Ursa, Secret Blizzard (anteriormente Krypton ), Snake , Uroburos y Venomous Bear. Este grupo de hackers está afiliado al Estado ruso y vinculado a su Servicio Federal de Seguridad (FSB).

En los últimos meses, Turla se ha dirigido específicamente al sector de defensa en Ucrania y Europa del Este, empleando una nueva puerta trasera basada en .NET llamada DeliveryCheck. Al mismo tiempo, el actor de amenazas ha actualizado su antiguo implante de segunda etapa, Kazuar , que ha estado en uso desde al menos 2017.

La campaña más reciente con TinyTurla-NG se remonta a finales de 2023 y, según se informa, continuó hasta el 27 de enero de 2024. Sin embargo, existen sospechas de que la actividad maliciosa podría haber comenzado ya en noviembre de 2023 según las fechas de compilación del malware asociado. .

TinyTurla-NG se utiliza para la entrega de malware Infostealer

El método de distribución de la puerta trasera TinyTurla-NG sigue siendo desconocido en la actualidad. Sin embargo, se ha observado que utiliza sitios web comprometidos basados en WordPress como puntos finales de comando y control (C2). Estos sitios web sirven para recuperar y ejecutar instrucciones, lo que permite a TinyTurla-NG ejecutar comandos a través de PowerShell o el símbolo del sistema (cmd.exe) y facilitar las actividades de carga/descarga de archivos.

Además, TinyTurla-NG sirve como conducto para entregar TurlaPower-NG, que consta de scripts de PowerShell diseñados para filtrar información crucial utilizada para proteger las bases de datos de contraseñas del popular software de administración de contraseñas. Los datos extraídos normalmente se empaquetan en un archivo ZIP.

Esta campaña muestra un alto nivel de segmentación, centrándose en un número selecto de organizaciones, y la confirmación actualmente se limita a aquellas con sede en Polonia. La campaña se caracteriza por una fuerte compartimentación, donde unos pocos sitios web comprometidos que sirven como C2 interactúan solo con un número limitado de muestras. Esta estructura dificulta el paso de una muestra/C2 a otras dentro de la misma infraestructura.

Las puertas traseras permiten a los actores de amenazas realizar diversas actividades amenazantes

Los dispositivos infectados con amenazas de malware de puerta trasera plantean peligros importantes, entre ellos:

• Acceso no autorizado: las puertas traseras proporcionan un punto de entrada sigiloso para los ciberdelincuentes a un dispositivo. Una vez infectados, los atacantes pueden obtener acceso no autorizado, comprometiendo datos confidenciales, información personal o propiedad intelectual.
• Robo de datos y espionaje: se pueden explotar puertas traseras para filtrar información confidencial, como registros financieros, datos personales o estrategias comerciales. Estos datos recopilados pueden usarse para robo de identidad, espionaje corporativo o venderse en la Dark Web.
• Control persistente: las puertas traseras a menudo permiten un control persistente sobre un dispositivo comprometido. Los atacantes pueden manipular remotamente el dispositivo, ejecutar comandos inseguros y mantener el acceso durante períodos prolongados sin el conocimiento del usuario.
• Propagación y movimiento lateral: las puertas traseras pueden facilitar la propagación de malware dentro de una red al permitir a los atacantes moverse lateralmente de un dispositivo a otro. Esto puede provocar infecciones generalizadas, lo que dificulta que las organizaciones contengan y erradiquen la amenaza.
• Implementación de ransomware: las puertas traseras pueden servir como punto de entrada para implementar archivos cifrados de ransomware en el dispositivo o la red infectados. Luego, los delincuentes exigen un rescate por la clave de descifrado, lo que interrumpe las operaciones normales y provoca pérdidas financieras.
• Integridad del sistema comprometida: las puertas traseras pueden comprometer la integridad de un sistema al modificar o deshabilitar las funciones de seguridad. Esto podría provocar una serie de problemas, incluida la incapacidad de detectar o eliminar el malware, lo que dejaría al dispositivo vulnerable a una mayor explotación.
• Ataques a la cadena de suministro: se pueden inyectar puertas traseras en el software o firmware durante el proceso de la cadena de suministro. Los dispositivos con puertas traseras preinstaladas pueden distribuirse a usuarios desprevenidos, lo que representa una amenaza importante para personas, empresas e incluso infraestructuras críticas.

Para mitigar estos peligros, es fundamental que las personas y las organizaciones establezcan medidas sólidas de ciberseguridad, incluidas actualizaciones periódicas de software, soluciones antimalware, monitoreo de redes y educación de los usuarios sobre cómo reconocer y evitar amenazas potenciales.