El actor de amenazas vinculado a Rusia conocido como Turla infectó varios sistemas pertenecientes a una organización no gubernamental (ONG) europea no identificada para desplegar una puerta trasera llamada TinyTurla-NG.
«Los atacantes comprometieron el primer sistema, establecieron persistencia y agregaron exclusiones a los productos antivirus que se ejecutan en estos puntos finales como parte de sus acciones preliminares posteriores al compromiso», Cisco Talos dicho en un nuevo informe publicado hoy.
«Luego, Turla abrió canales adicionales de comunicación a través de Chisel para la filtración de datos y para pasar a sistemas accesibles adicionales en la red».
Hay evidencia que indica que los sistemas infectados fueron vulnerados ya en octubre de 2023, con Chisel implementado en diciembre de 2023 y la filtración de datos a través de la herramienta un mes después, alrededor del 12 de enero de 2024.
TinyTurla-NG fue documentado por primera vez por la empresa de ciberseguridad el mes pasado después de que se descubriera que se había utilizado en relación con un ciberataque dirigido a una ONG polaca que trabajaba para mejorar la democracia polaca y apoyar a Ucrania durante la invasión rusa.
Cisco Talos dijo a The Hacker News en ese momento que la campaña parece estar muy dirigida y centrada en un pequeño número de organizaciones, la mayoría de las cuales están ubicadas en Polonia.
La cadena de ataque implica que Turla aproveche su acceso inicial para configurar Microsoft Defender exclusiones de antivirus para evadir la detección y eliminar TinyTurla-NG, que luego persiste mediante la creación de un servicio «sdm» malicioso que se hace pasar por un servicio de «Administrador de dispositivos del sistema».
TinyTurla-NG actúa como una puerta trasera para realizar reconocimientos de seguimiento, exfiltrar archivos de interés a un servidor de comando y control (C2) e implementar una versión personalizada del software de tunelización Chisel. Aún se está investigando la vía exacta de intrusión.
«Una vez que los atacantes hayan obtenido acceso a una nueva caja, repetirán sus actividades para crear exclusiones de Microsoft Defender, eliminar los componentes de malware y crear persistencia», dijeron los investigadores de Talos.