Los investigadores de seguridad han identificado y analizado un nuevo malware al que llaman TinyTurla-NG y TurlaPower-NG utilizado por el grupo de hackers ruso Turla para mantener el acceso a la red de un objetivo y robar datos confidenciales.
El actor de amenazas utilizó varios sitios web que ejecutaban versiones vulnerables de WordPress con fines de comando y control (C2) y para alojar scripts de PowerShell maliciosos.
Turla es un grupo de amenazas de ciberespionaje activo desde al menos 2004 y vinculado a un servicio de inteligencia ruso, concretamente al Servicio Federal de Seguridad (FSB).
Se centra en organizaciones de diversos sectores (por ejemplo, gobierno, ejército, educación, investigación, farmacéutica, ONG) utilizando herramientas personalizadas y malware.
Sitios de WordPress para Comando y Control
Los investigadores de seguridad de Cisco Talos descubrieron TinyTurla-NG mientras investigaban un compromiso en colaboración con CERT.NGO en una organización no gubernamental polaca que apoyaba a Ucrania durante la invasión rusa.
El malware se dirigió a la ONG en diciembre pasado e implementó los scripts TurlaPower-NG PowerShell para filtrar contraseñas maestras para el popular software de administración de contraseñas.
Según los investigadores, TinyTurla-NG está apuntando activamente a múltiples ONG en Polonia.
Los servidores C2 utilizados en la campaña TinyTurla-NG son sitios web de WordPress legítimos pero vulnerables, que el actor de amenazas viola para configurar scripts, registros de infecciones y directorios necesarios para comunicarse con el implante y almacenar datos robados.
El malware TinyTurla-NG actúa como una puerta trasera y su propósito es proporcionar al actor de la amenaza acceso al sistema comprometido cuando todos los demás mecanismos fallan o cuando han sido detectados y eliminados.
El informe técnico de Cisco Talos explica que TinyTurla-NG es una DLL de servicio iniciada a través de svchost.exe y las características del malware se distribuyen a través de varios subprocesos.
Durante la etapa de enumeración, los scripts excluyen los archivos de vídeo con la extensión .MP4. Los datos de destino son contraseñas que desbloquean bases de datos o software de administración de contraseñas, que están empaquetadas en un archivo .ZIP.
Hay al menos tres variantes de la puerta trasera TinyTurla-NG, pero los investigadores sólo pudieron acceder a dos de ellas.
Según los hallazgos, Turla tuvo acceso a la infraestructura objetivo entre el 18 de diciembre y el 27 de enero. Sin embargo, según las fechas de compilación del malware, la campaña probablemente comenzó en noviembre del año pasado.
Si bien el código de TinyTurla-NG es diferente del antiguo implante TinyTurla del actor de la amenaza , ambos tienen el mismo uso al actuar como una “puerta trasera secreta” que continúa brindando acceso cuando otros métodos no tienen éxito. Los dos implantes comparten similitudes en el estilo de codificación y la implementación de funciones.
Cisco Talos pone a disposición un pequeño conjunto de indicadores de compromiso para TinyTurla-NG en formato .TXT y .JSON.