Porte dérobée TinyTurla-NG

L'acteur malveillant Turla, qui serait soutenu par la Russie, a été observé en train d'utiliser une nouvelle porte dérobée nommée TinyTurla-NG au cours d'une campagne qui a duré trois mois. L'opération d'attaque visait spécifiquement des organisations non gouvernementales en Pologne vers la fin de 2023. Semblable à son prédécesseur, TinyTurla, TinyTurla-NG fonctionne comme une porte dérobée compacte de « dernier recours ». Il est stratégiquement déployé pour rester inactif jusqu'à ce que tous les autres mécanismes d'accès non autorisés ou de portes dérobées sur les systèmes compromis échouent ou soient découverts.

Nommé pour sa ressemblance avec TinyTurla, TinyTurla-NG est un autre implant utilisé par le collectif adverse lors d'intrusions ciblant les États-Unis, l'Allemagne et l'Afghanistan depuis au moins 2020. La société de cybersécurité a initialement documenté TinyTurla en septembre 2021.

Le groupe Turla APT a compromis des objectifs alignés sur les intérêts de la Russie

Les acteurs de la menace connus sous le nom de spécialistes de la cybersécurité traquent Turla sous divers pseudonymes, notamment Iron Hunter, Pensive Ursa, Secret Blizzard (anciennement Krypton ), Snake , Uroburos et Venomous Bear. Ce groupe de hackers est affilié à l'État russe et lié à son Service fédéral de sécurité (FSB).

Ces derniers mois, Turla a spécifiquement ciblé le secteur de la défense en Ukraine et en Europe de l'Est, en utilisant une nouvelle porte dérobée basée sur .NET nommée DeliveryCheck. Simultanément, l’acteur malveillant a amélioré son implant de deuxième étape de longue date, Kazuar , utilisé depuis au moins 2017.

La campagne la plus récente mettant en vedette TinyTurla-NG remonte à la fin de 2023 et se serait poursuivie jusqu'au 27 janvier 2024. Cependant, on soupçonne que l'activité malveillante aurait pu commencer dès novembre 2023, sur la base des dates de compilation du malware associé. .

TinyTurla-NG est utilisé pour la diffusion de logiciels malveillants Infostealer

La méthode de distribution de la porte dérobée TinyTurla-NG reste actuellement inconnue. Cependant, il a été observé que des sites Web WordPress compromis étaient utilisés comme points de terminaison de commande et de contrôle (C2). Ces sites Web servent à récupérer et à exécuter des instructions, permettant à TinyTurla-NG d'exécuter des commandes via PowerShell ou une invite de commande (cmd.exe) et de faciliter les activités de téléchargement/téléchargement de fichiers.

De plus, TinyTurla-NG sert de canal pour fournir TurlaPower-NG, qui consiste en des scripts PowerShell conçus pour exfiltrer des informations cruciales utilisées pour sécuriser les bases de données de mots de passe des logiciels de gestion de mots de passe populaires. Les données exfiltrées sont généralement regroupées dans une archive ZIP.

Cette campagne présente un niveau élevé de ciblage, se concentrant sur un nombre sélectionné d'organisations, la confirmation étant actuellement limitée à celles basées en Pologne. La campagne se caractérise par une forte compartimentation, où quelques sites Web compromis servant de C2 n'interagissent qu'avec un nombre limité d'échantillons. Cette structure rend difficile le passage d’un échantillon/C2 à d’autres au sein de la même infrastructure.

Les portes dérobées permettent aux acteurs de la menace d’effectuer diverses activités menaçantes

Les appareils infectés par des menaces de logiciels malveillants de porte dérobée présentent des dangers importants, notamment :

• Accès non autorisé : les portes dérobées constituent un point d'entrée furtif pour les cybercriminels dans un appareil. Une fois infectés, les attaquants peuvent obtenir un accès non autorisé, compromettant les données sensibles, les informations personnelles ou la propriété intellectuelle.
• Vol de données et espionnage : les portes dérobées peuvent être exploitées pour exfiltrer des informations confidentielles, telles que des dossiers financiers, des informations personnelles ou des stratégies commerciales. Ces données collectées peuvent être utilisées à des fins d’usurpation d’identité, d’espionnage industriel ou vendues sur le Dark Web.
• Contrôle persistant : les portes dérobées permettent souvent un contrôle persistant sur un appareil compromis. Les attaquants peuvent manipuler l'appareil à distance, exécuter des commandes dangereuses et maintenir l'accès pendant de longues périodes à l'insu de l'utilisateur.
• Propagation et mouvement latéral : les portes dérobées peuvent faciliter la propagation de logiciels malveillants au sein d'un réseau en permettant aux attaquants de se déplacer latéralement d'un appareil à un autre. Cela peut conduire à des infections généralisées, ce qui rend difficile pour les organisations de contenir et d’éradiquer la menace.
• Déploiement de ransomwares : les portes dérobées peuvent servir de point d'entrée pour déployer des fichiers de cryptage de ransomwares sur l'appareil ou le réseau infecté. Les criminels exigent alors une rançon pour la clé de déchiffrement, perturbant ainsi les opérations normales et provoquant des pertes financières.
• Intégrité du système compromise : les portes dérobées peuvent compromettre l'intégrité d'un système en modifiant ou en désactivant les fonctionnalités de sécurité. Cela pourrait entraîner toute une série de problèmes, notamment l’incapacité de détecter ou de supprimer le logiciel malveillant, rendant l’appareil vulnérable à une exploitation ultérieure.
• Attaques de la chaîne d'approvisionnement : des portes dérobées peuvent être injectées dans des logiciels ou des micrologiciels pendant le processus de la chaîne d'approvisionnement. Les appareils dotés de portes dérobées préinstallées peuvent être distribués à des utilisateurs peu méfiants, posant ainsi une menace importante pour les particuliers, les entreprises et même les infrastructures critiques.

Pour atténuer ces dangers, il est fondamental que les individus et les organisations mettent en place des mesures de cybersécurité robustes, notamment des mises à jour régulières des logiciels, des solutions anti-malware, une surveillance du réseau et une formation des utilisateurs sur la reconnaissance et l'évitement des menaces potentielles.