俄罗斯关联的Turla APT使用新的TinyTurla-NG后门来监视波兰非政府组织

俄罗斯关联的网络间谍组织Turla被发现在针对波兰非政府组织的攻击中使用了一种名为TinyTurla-NG的新后门。

Turla APT组织（又称Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON）自2004年以来一直活跃，瞄准中东、亚洲、欧洲、北美和南美的外交和政府机构以及私营企业，以及前苏联国家。思科塔洛斯的研究人员报告称，“TinyTurla-NG”（TTNG）类似于Turla的植入物TinyTurla。

TinyTurla-NG于2023年12月初被发现，它被用于针对致力于改善波兰民主和支持乌克兰在俄罗斯入侵期间的非政府组织的攻击。“塔洛斯有很高的信心认为TinyTurla-NG，就像TinyTurla一样，是一种小型的‘最后机会’后门，当所有其他未授权访问/后门机制在被感染系统上失败或被检测到时，它将被留下以供使用。”塔洛斯发布的报告中写道。塔洛斯还发现了之前未被发现的PowerShell，名为“TurlaPower-NG”，旨在进行数据外泄。Turla运营商使用这些脚本来窃取用于保护常见密码管理软件的密码数据库的密钥。这家网络安全公司确定了三种不同的TinyTurla-NG样本，并成功访问了其中两个。这场最新的活动至少始于2023年12月18日，并且在2024年1月27日仍然活跃。专家们收集的证据表明，这场活动可能早在2023年11月就已经开始。

Turla运营商使用被入侵的WordPress网站作为TinyTurla-NG后门的C2。威胁行为者入侵了运行着流行CMS的易受攻击版本的网站，包括4.4.20、5.0.21、5.1.18和5.7.2。攻击者上传了包含以rss-old.php、rss.old.php或block.old.php等名称的C2代码的PHP文件。

自活动开始以来，攻击者使用了各种C2服务器来托管PowerShell脚本和可在受害者机器上执行的任意命令。与TinyTurla类似，TinyTurla-NG作为一个由svchost.exe启动的服务DLL运行。恶意软件使用Windows事件进行同步，第一个主要的恶意软件线程是在DLL的ServiceMain函数中启动的。该恶意软件支持以下命令：

“changeshell”：此命令将指示后门切换当前用于执行命令的shell，例如从cmd.exe切换到PowerShell.exe，或反之亦然。

“changepoint”：此命令用于告知植入物切换到植入物中存在的第二个C2 URL。

“get”：通过HTTP GET请求从C2获取指定文件，并将其写入磁盘上指定的位置。

“post”：将受害者的文件从受害者机器外泄到C2，例如post C:some_file.bin。

“killme”：创建一个基于当前滴答计数的BAT文件（见下文）。然后，使用BAT文件从受害者机器的磁盘上删除一个文件，例如killme 。通过cmd.exe /c .bat执行BAT文件。

原文始发于微信公众号（黑猫安全）：俄罗斯关联的Turla APT使用新的TinyTurla-NG后门来监视波兰非政府组织