Un nuevo reporte técnico de Cisco Talos ha descubierto que el grupo maligno Turla, afiliado al estado ruso y vinculado al Servicio Federal de Seguridad (FSB), ha utilizado un backdoor llamado TinyTurla-NG en una campaña de tres meses contra organizaciones no gubernamentales polacas en diciembre de 2023. TinyTurla-NG es un pequeño backdoor de «última oportunidad» similar a TinyTurla, que deja atrás y se utiliza cuando todos los demás mecanismos de acceso no autorizados y backdoors han sido detectados o han fallado en sistemas infectados. El grupo maligno ha seleccionado el sector de defensa en Ucrania y Europa del Este con un backdoor noveno denominado DeliveryCheck para actualizar su segundo y habitual implante, Kazuar.
Turla ha utilizado sitios web comprometidos basados en WordPress como puntos finales de comando y control (C2) para obtener y ejecutar instrucciones, permitiéndole ejecutar comandos a través de PowerShell o Command Prompt (cmd.exe) y descargar/cargar archivos. Además, TinyTurla-NG actúa como conducto para entregar scripts de PowerShell llamados TurlaPower-NG que están diseñados para exfiltrar material clave utilizado para asegurar bases de datos de contraseñas de software popular de gestión de contraseñas en forma de archivo ZIP.
La actividad de la última campaña de TinyTurla-NG se ha estado desarrollando desde el 18 de diciembre de 2023 hasta el 27 de enero de 2024 y se cree que podría haber comenzado en noviembre de 2023. En este momento, no se sabe cómo se distribuye el backdoor en los entornos de la víctima.
La revelación se produce cuando Microsoft y OpenAI revelaron que actores estatales de Rusia están explorando herramientas de inteligencia artificial generativas, incluidos modelos de lenguaje grandes (LLM), como ChatGPT, para comprender protocolos de comunicación satelital, tecnologías de imagen de radar y buscar apoyo con tareas de scripting. Este descubrimiento es una clara señal de que los colectivos adversos están utilizando tecnología avanzada para mejorar sus actividades maliciosas.
Vía The Hacker News
