El grupo de amenazas Turla, supuestamente vinculado a Rusia, ha sido acusado de infectar varios sistemas pertenecientes a una organización no gubernamental europea no identificada con su puerta trasera, TinyTurla-NG. Un informe de Cisco Talos revela que «los atacantes abrieron canales adicionales de comunicación a través de Chisel para la exfiltración de datos y pivotear a los sistemas accesibles adicionales en la red».
Se cree que los sistemas infectados fueron comprometidos desde octubre de 2023, con Chisel desplegado en diciembre y la exfiltración de datos llevada a cabo un mes después, alrededor del 12 de enero de 2024. TinyTurla-NG fue visto por primera vez el mes pasado cuando se descubrió su uso en una campaña contra una ONG polaca enfocada en mejorar la democracia y apoyar a Ucrania durante la invasión rusa.
La cadena de ataque comienza con Turla aprovechando su acceso inicial para configurar exclusiones de antivirus de Microsoft Defender y dejar caer TinyTurla-NG, que se mantiene mediante la creación de un servicio malicioso «sdm» que se hace pasar por un servicio «Administrador de dispositivos del sistema». TinyTurla-NG actúa como una puerta trasera para llevar a cabo la exploración de seguimiento, exfiltrar archivos de interés a un servidor de comando y control (C2) y desplegar una versión personalizada del software de túnel de Chisel. Todavía se está investigando la ruta exacta de la intrusión.
Los investigadores de Talos enfatizan que, una vez que los atacantes han obtenido acceso a un nuevo sistema, repetirán sus actividades para crear exclusiones de Microsoft Defender, dejar caer los componentes de malware y crear persistencia. La campaña parece altamente enfocada y centrada en un pequeño número de organizaciones, la mayoría de las cuales se encuentran en Polonia. El informe de Cisco Talos ofrece detalles importantes sobre el ciberataque y es relevante para la ciberseguridad en general.
Vía The Hacker News
