Tác nhân đe dọa liên quan đến Nga được gọi là Turla đã được quan sát thấy bằng cách sử dụng một cửa hậu mới có tên TinyTurla-NG như một phần của chiến dịch kéo dài ba tháng nhắm vào các tổ chức phi chính phủ Ba Lan vào tháng 12/2023.
"TinyTurla-NG, giống như TinyTurla, là một backdoor 'cơ hội cuối cùng' nhỏ bị bỏ lại để sử dụng khi tất cả các cơ chế truy cập / backdoor trái phép khác đã thất bại hoặc được phát hiện trên các hệ thống bị nhiễm", Cisco Talos cho biết trong một báo cáo kỹ thuật được công bố ngày hôm nay.
TinyTurla-NG được đặt tên như vậy vì thể hiện sự tương đồng với TinyTurla, một thiết bị cấy ghép khác được sử dụng bởi tập thể đối thủ trong các cuộc xâm nhập nhằm vào Mỹ, Đức và Afghanistan kể từ ít nhất là năm 2020. TinyTurla lần đầu tiên được công ty an ninh mạng ghi nhận vào tháng 9/2021.
Turla, còn được biết đến với cái tên Iron Hunter, Pensive Ursa, Secret Blizzard (trước đây là Krypton), Snake, Uroburos và Venomous Bear, là một tác nhân đe dọa liên kết với nhà nước Nga liên kết với Cơ quan An ninh Liên bang (FSB).
Trong những tháng gần đây, tác nhân đe dọa đã chỉ ra lĩnh vực quốc phòng ở Ukraine và Đông Âu bằng một cuốn tiểu thuyết. Backdoor dựa trên NET được gọi là DeliveryCheck, đồng thời nâng cấp bộ cấy giai đoạn hai chủ yếu của nó được gọi là Kazuar, mà nó đã đưa vào sử dụng vào đầu năm 2017.
Chiến dịch mới nhất liên quan đến TinyTurla-NG bắt đầu từ ngày 18/12/2023 và được cho là đã diễn ra cho đến ngày 27/1/2024. Tuy nhiên, người ta nghi ngờ rằng hoạt động này có thể đã thực sự bắt đầu vào tháng 11/2023 dựa trên ngày biên soạn phần mềm độc hại.
Hiện tại vẫn chưa biết làm thế nào backdoor được phân phối đến môi trường nạn nhân, nhưng nó đã được tìm thấy để sử dụng các trang web dựa trên WordPress bị xâm nhập làm điểm cuối lệnh và kiểm soát (C2) để tìm nạp và thực hiện các hướng dẫn, cho phép nó chạy các lệnh thông qua PowerShell hoặc Command Prompt (cmd.exe) cũng như các tệp tải xuống / tải lên.
TinyTurla-NG cũng hoạt động như một ống dẫn để cung cấp các tập lệnh PowerShell có tên là TurlaPower-NG được thiết kế để trích xuất tài liệu chính được sử dụng để bảo mật cơ sở dữ liệu mật khẩu của phần mềm quản lý mật khẩu phổ biến dưới dạng kho lưu trữ ZIP.
"Chiến dịch này dường như được nhắm mục tiêu cao và tập trung vào một số ít các tổ chức, trong đó cho đến nay chúng tôi chỉ có thể xác nhận những tổ chức có trụ sở tại Ba Lan", một nhà nghiên cứu của Cisco Talos nói với The Hacker News, lưu ý rằng đánh giá dựa trên khả năng hiển thị hiện tại.
"Chiến dịch này được phân chia cao, một vài trang web bị xâm nhập hoạt động như C2 liên hệ với một vài mẫu, có nghĩa là không dễ dàng để chuyển từ một mẫu / C2 sang các mẫu khác bằng cách sử dụng cùng một cơ sở hạ tầng sẽ giúp chúng tôi tự tin rằng chúng có liên quan."
Tiết lộ được đưa ra khi Microsoft và OpenAI tiết lộ rằng các tác nhân quốc gia từ Nga đang khám phá các công cụ trí tuệ nhân tạo (AI), bao gồm các mô hình ngôn ngữ lớn (LLM) như ChatGPT, để hiểu các giao thức truyền thông vệ tinh, công nghệ hình ảnh radar và tìm kiếm sự hỗ trợ với các tác vụ kịch bản.