Компания Cisco Talos обнаружила новый бэкдор, автором и оператором которого является группа Turla APT, российская группа, занимающаяся кибершпионажем. Этот новый бэкдор, который назвали "TinyTurla-NG" (TTNG), похож на ранее раскрытый имплант Turla, TinyTurla, по стилю кодирования и реализации функциональности.
- Talos с высокой степенью уверенности считает, что TinyTurla-NG, как и TinyTurla, является небольшим бэкдором "последнего шанса", который оставляют для использования, когда все другие механизмы несанкционированного доступа/бэкдора не работают или обнаружены на зараженных системах.
- TinyTurla-NG был замечен еще в декабре 2023 года, когда он атаковал польскую неправительственную организацию (НПО), занимающуюся улучшением польской демократии и поддержкой Украины во время российского вторжения.
- Cisco Talos также обнаружили ранее неизвестные скрипты PowerShell, которые назвали "TurlaPower-NG", предназначенные для работы в качестве эксфильтраторов файлов. TinyTurla-NG использовал эти скрипты для утечки ключевого материала, используемого для защиты баз данных паролей в популярных программах управления паролями, что свидетельствует о согласованных усилиях Turla по краже учетных данных.
Indicators of Compromise
Domains
- buy-new-car.com
- caduff-sa.ch
- carleasingguru.com
- hanagram.jp
- jeepcarlease.com
- thefinetreats.com
SHA256
- 267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
- d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40