Un gruppo di minaccia legato alla Russia, noto come Turla, ha infettato diversi sistemi di un’organizzazione non governativa (ONG) europea non specificata per implementare un backdoor denominato TinyTurla-NG.
Attacco e persistenza
Secondo un recente report di Cisco Talos, gli aggressori hanno compromesso il primo sistema, stabilito la persistenza e aggiunto eccezioni ai prodotti antivirus presenti su questi endpoint come parte delle loro azioni post-compromissione iniziali. Turla ha quindi aperto ulteriori canali di comunicazione tramite Chisel per l’esfiltrazione dei dati e per muoversi verso ulteriori sistemi accessibili nella rete.
Tempistica dell’intrusione
Si ritiene che i sistemi infetti siano stati violati già nell’ottobre 2023, con Chisel implementato nel dicembre 2023 e l’esfiltrazione dei dati tramite lo strumento avvenuta circa un mese dopo, intorno al 12 gennaio 2024.
TinyTurla-NG e le sue implicazioni
TinyTurla-NG, documentato per la prima volta il mese scorso, è stato utilizzato in connessione con un attacco informatico mirato a un’ONG polacca impegnata a migliorare la democrazia polacca e a sostenere l’Ucraina durante l’invasione russa. La campagna sembra essere altamente mirata e focalizzata su un piccolo numero di organizzazioni, la maggior parte delle quali situate in Polonia.
La catena di attacco coinvolge l’exploit dell’accesso iniziale di Turla per configurare le eccezioni dell’antivirus Microsoft Defender per evitare il rilevamento e rilasciare TinyTurla-NG, che viene poi mantenuto creando un servizio “sdm” malevolo che si maschera come un servizio “System Device Manager”.
TinyTurla-NG funge da backdoor per condurre ulteriori attività di ricognizione, esfiltrare file di interesse verso un server di comando e controllo (C2) e implementare una versione personalizzata del software di tunneling Chisel. Il percorso esatto dell’intrusione è ancora oggetto di indagine.
Risposta e difesa
Una volta che gli aggressori hanno accesso a un nuovo sistema, ripetono le loro attività per creare eccezioni Microsoft Defender, rilasciare i componenti del malware e creare persistenza. Questo report evidenzia l’importanza di una vigilanza costante e di misure di sicurezza robuste per difendersi da minacce sofisticate e mirate come TinyTurla-NG.
