Nhóm tin tặc có liên quan đến Nga được gọi là Turla đã lây nhiễm một số hệ thống thuộc một tổ chức phi chính phủ châu Âu (NGO) giấu tên để triển khai một cửa hậu có tên TinyTurla-NG.
"Những kẻ tấn công đã xâm nhập hệ thống đầu tiên, thiết lập sự kiên trì và thêm các loại trừ cho các sản phẩm chống vi-rút chạy trên các điểm cuối này như một phần của hành động sau thỏa hiệp sơ bộ của chúng", Cisco Talos cho biết trong một báo cáo mới được công bố hôm nay.
"Turla sau đó đã mở các kênh liên lạc bổ sung thông qua Chisel để lọc dữ liệu và xoay trục sang các hệ thống có thể truy cập bổ sung trong mạng."
Có bằng chứng cho thấy các hệ thống bị nhiễm đã bị xâm phạm sớm nhất là vào tháng 10/2023, với Chisel được triển khai vào tháng 12/2023 và việc trích xuất dữ liệu diễn ra thông qua công cụ này một tháng sau đó, khoảng ngày 12/1/2024.
TinyTurla-NG lần đầu tiên được ghi nhận bởi công ty an ninh mạng vào tháng trước sau khi nó được phát hiện sử dụng liên quan đến một cuộc tấn công mạng nhắm vào một tổ chức phi chính phủ Ba Lan làm việc để cải thiện nền dân chủ Ba Lan và hỗ trợ Ukraine trong cuộc xâm lược của Nga.
Cisco Talos nói với The Hacker News vào thời điểm đó rằng chiến dịch dường như được nhắm mục tiêu cao và tập trung vào một số ít tổ chức, hầu hết trong số đó được đặt tại Ba Lan.
Chuỗi tấn công liên quan đến việc Turla khai thác quyền truy cập ban đầu của họ để định cấu hình loại trừ chống vi-rút Microsoft Defender để tránh bị phát hiện và thả TinyTurla-NG, sau đó được duy trì bằng cách tạo ra một dịch vụ "sdm" độc hại giả mạo là dịch vụ "Trình quản lý thiết bị hệ thống".
TinyTurla-NG hoạt động như một cửa hậu để tiến hành trinh sát tiếp theo, trích xuất các tệp quan tâm đến máy chủ chỉ huy và kiểm soát (C2) và triển khai phiên bản xây dựng tùy chỉnh của phần mềm đường hầm Chisel. Con đường xâm nhập chính xác vẫn đang được điều tra.
"Một khi những kẻ tấn công đã có quyền truy cập vào một hộp mới, chúng sẽ lặp lại các hoạt động của mình để tạo ra các loại trừ Microsoft Defender, loại bỏ các thành phần phần mềm độc hại và tạo ra sự bền bỉ", các nhà nghiên cứu của Talos cho biết.