Hacker de Puerta Trasera atacan a ONG con el Nuevo Malware TinyTurla-NG

Los investigadores de seguridad han identificado y analizado un nuevo malware al que llaman TinyTurla-NG y TurlaPower-NG utilizado por el grupo de hackers ruso Turla para mantener el acceso a la red de un objetivo y robar datos confidenciales.

El actor de amenazas utilizó varios sitios web que ejecutaban versiones vulnerables de WordPress con fines de comando y control (C2) y para alojar scripts de PowerShell maliciosos.

Turla es un grupo de amenazas de ciberespionaje activo desde al menos 2004 y vinculado a un servicio de inteligencia ruso, concretamente al Servicio Federal de Seguridad (FSB).

Se centra en organizaciones de diversos sectores (por ejemplo, gobierno, ejército, educación, investigación, farmacéutica, ONG) utilizando herramientas personalizadas y malware.

Sitios de WordPress para Comando y Control

Los investigadores de seguridad de Cisco Talos descubrieron TinyTurla-NG mientras investigaban un compromiso en colaboración con CERT.NGO en una organización no gubernamental polaca que apoyaba a Ucrania durante la invasión rusa.

El malware se dirigió a la ONG en diciembre pasado e implementó los scripts TurlaPower-NG PowerShell para filtrar contraseñas maestras para el popular software de administración de contraseñas.

Según los investigadores, TinyTurla-NG está apuntando activamente a múltiples ONG en Polonia.

Los servidores C2 utilizados en la campaña TinyTurla-NG son sitios web de WordPress legítimos pero vulnerables, que el actor de amenazas viola para configurar scripts, registros de infecciones y directorios necesarios para comunicarse con el implante y almacenar datos robados.

El malware TinyTurla-NG actúa como una puerta trasera y su propósito es proporcionar al actor de la amenaza acceso al sistema comprometido cuando todos los demás mecanismos fallan o cuando han sido detectados y eliminados.

El informe técnico de Cisco Talos explica que TinyTurla-NG es una DLL de servicio iniciada a través de svchost.exe y las características del malware se distribuyen a través de varios subprocesos.

Durante la etapa de enumeración, los scripts excluyen los archivos de vídeo con la extensión .MP4. Los datos de destino son contraseñas que desbloquean bases de datos o software de administración de contraseñas, que están empaquetadas en un archivo .ZIP.

Hay al menos tres variantes de la puerta trasera TinyTurla-NG, pero los investigadores sólo pudieron acceder a dos de ellas.

Según los hallazgos, Turla tuvo acceso a la infraestructura objetivo entre el 18 de diciembre y el 27 de enero. Sin embargo, según las fechas de compilación del malware, la campaña probablemente comenzó en noviembre del año pasado.

Si bien el código de TinyTurla-NG es diferente del antiguo implante TinyTurla del actor de la amenaza , ambos tienen el mismo uso al actuar como una “puerta trasera secreta” que continúa brindando acceso cuando otros métodos no tienen éxito. Los dos implantes comparten similitudes en el estilo de codificación y la implementación de funciones.

Cisco Talos pone a disposición un pequeño conjunto de indicadores de compromiso para TinyTurla-NG en formato .TXT y .JSON.

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!

SolarWinds corrige Errores Críticos de RCE en la Solución de Auditoría de Derechos de Acceso

SolarWinds ha solucionado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten una explotación no autenticada. Access Rights Manager permite a las empresas gestionar y auditar los derechos de acceso en toda su infraestructura de TI para minimizar el impacto de las amenazas internas y más. CVE-2024-23476 y CVE-2024-23479 se deben a ¡SEGUIR LEYENDO!