El actor de amenazas vinculado a Rusia, conocido como Turla, infectó varios sistemas pertenecientes a una organización no gubernamental (ONG) europea no identificada para desplegar una puerta trasera llamada TinyTurla-NG.
“Los atacantes comprometieron el primer sistema, establecieron persistencia y agregaron exclusiones a los productos antivirus que se ejecutan en estos puntos finales como parte de sus acciones preliminares posteriores al compromiso”, dijo Cisco Talos en un nuevo informe.
“Luego, Turla abrió canales adicionales de comunicación a través de Chisel para la filtración de datos y para pasar a sistemas accesibles adicionales en la red”.
Hay evidencia que indica que los sistemas infectados fueron vulnerados ya en octubre de 2023, con Chisel implementado en diciembre de 2023 y la filtración de datos a través de la herramienta un mes después, alrededor del 12 de enero de 2024.
TinyTurla-NG fue documentado por primera vez por la empresa de ciberseguridad el mes pasado después de que se descubriera que se había utilizado en relación con un ciberataque dirigido a una ONG polaca que trabajaba para mejorar la democracia polaca y apoyar a Ucrania durante la invasión rusa.
Cisco Talos dijo a The Hacker News en ese momento que la campaña parece estar muy dirigida y centrada en un pequeño número de organizaciones, la mayoría de las cuales están ubicadas en Polonia.
La cadena de ataque implica que Turla aproveche su acceso inicial para configurar las exclusiones antivirus de Microsoft Defender para evadir la detección y eliminar TinyTurla-NG, que luego persiste mediante la creación de un servicio malicioso “sdm” que se hace pasar por un servicio de “Administrador de dispositivos del sistema”.
TinyTurla-NG actúa como una puerta trasera para realizar reconocimientos de seguimiento, exfiltrar archivos de interés a un servidor de comando y control (C2) e implementar una versión personalizada del software de túneles Chisel. Aún se está investigando la vía exacta de intrusión.
“Una vez que los atacantes hayan obtenido acceso a una nueva caja, repetirán sus actividades para crear exclusiones de Microsoft Defender, eliminar los componentes de malware y crear persistencia”, dijeron los investigadores de Talos.