Grupo de amenaza persistente avanzada (APT) patrocinado por Rusia Turla ahora está apuntando a ONG polacas en una campaña de ciberespionaje que utiliza una puerta trasera recientemente desarrollada con capacidades modulares, lo que indica una expansión del alcance de sus ataques contra los partidarios del esfuerzo bélico de Ucrania.
Según Cisco Talos entrada de blog publicada hoy en Turla (también conocido como Snake, Urobouros, Venomous Bear o WaterBug), la puerta trasera utilizada en los ataques, denominada "TinyTurla-NG", tiene funcionalidades muy parecidas al conocido malware personalizado de APT, el nombre similar TinyTurla. Actúa como una puerta trasera de “última oportunidad” “que se deja atrás para usarse cuando todos los demás mecanismos de acceso/puerta trasera no autorizados fallan o se detectan en los sistemas infectados”, escribieron los investigadores de Cisco Talos en la publicación.
El malware personalizado TinyTurla-NG se vuelve modular
Al igual que TinyTurla antes, TinyTurla-NG es un servicio DLL que se inicia a través de svchost.exe. Sin embargo, el código del malware es nuevo y diferentes características del malware se distribuyen a través de diferentes subprocesos en el proceso de implementación, algo que lo diferencia de su predecesor.
La APT también alberga diferentes scripts de PowerShell y comandos arbitrarios que pueden ejecutarse en la máquina víctima según las necesidades de los atacantes, otra desviación de las capacidades de puerta trasera anteriores, dijeron los investigadores. Y proporciona capacidades adicionales, como la ejecución de comandos mediante la elección de dos mecanismos: PowerShell o la interfaz de línea de comandos de Windows.
"Esto indica que Turla está modularizando su malware en varios componentes, probablemente para evitar la detección y el bloqueo de una única puerta trasera voluminosa responsable de todo lo que hay en el punto final infectado", dijo un investigador de Cisco Talos a Dark Reading.
TinyTurla-NG también implementa un implante previamente desconocido basado en PowerShell denominado TurlaPower-NG destinado específicamente a extraer archivos que pueden ser de interés para los atacantes, lo que indica otro cambio en las tácticas de la APT. En los ataques a las ONG polacas, Turla utilizó el implante PowerShell para proteger las bases de datos de contraseñas de software de gestión popular, "lo que indica un esfuerzo concertado por parte de Turla para robar credenciales de inicio de sesión", dice el investigador.
Turla: perro viejo, trucos viejos y nuevos
Turla es una APT experimentada que opera desde hace varios años en ataques que se cree que son en nombre del gobierno ruso. El grupo ha utilizado zero-days, software legítimoy otras técnicas desplegar puertas traseras en sistemas pertenecientes a militares y gobiernos, entidades diplomáticasy organizaciones de tecnología e investigación. En un caso, incluso estaba vinculado, a través de su puerta trasera Kazuar, hasta la ahora infame infracción de SolarWinds.
La primera fecha de compromiso de esta última campaña contra las ONG polacas que apoyan a Ucrania fue el 18 de diciembre y permaneció activa hasta el 27 de enero de este año, según los investigadores. Sin embargo, hay algunos indicios de que podría haber comenzado incluso antes, en noviembre.
Aunque TinyTurla-NG y TurlaPower-NG son nuevas formas de personalización malware Turla utilizadas en la campaña, el grupo continúa empleando viejas tácticas también, particularmente para comando y control (C2). Por ejemplo, continúa aprovechando sitios web comprometidos basados en WordPress como C2 para alojar y operar el malware.
"Los operadores utilizan diferentes sitios web que ejecutan versiones vulnerables de WordPress (versiones que incluyen 4.4.20, 5.0.21, 5.1.18 y 5.7.2), que permitieron la carga de archivos PHP que contienen el código C2", según la publicación.
Defensa contra ciberataques sofisticados de APT
Cisco Talos incluyó una lista de hashes y dominios en su lista de indicadores de compromiso (IoC) para la última campaña de Turla, así como una lista de soluciones de seguridad que pueden brindar cobertura a las organizaciones preocupadas por ser atacadas.
En general, los investigadores recomiendan que las organizaciones utilicen "un defensa en capas modelo” que permite la detección y el bloqueo de actividades maliciosas desde el compromiso inicial hasta la implementación de la carga útil final para defenderse contra amenazas APT sofisticadas, dice el investigador de Cisco Talos.
"Es imperativo que las organizaciones detecten y se protejan contra adversarios sofisticados y altamente motivados en múltiples superficies de ataque", dice el investigador.
Cisco Talos también recomienda que las organizaciones utilicen actividades prácticas en el teclado, como el archivado de archivos de interés y la posterior exfiltración, para protegerse aún más contra ataques dirigidos.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-turla-novel-backdoor-malware-polish-ngos
