El grupo ruso Turla APT despliega un nuevo backdoor en los sistemas objetivo

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Hackers patrocinados por el Estado y afiliados a Rusia están detrás de una nueva serie de intrusiones que utilizan un implante no documentado previamente para comprometer sistemas en Estados Unidos, Alemania y Afganistán.

Cisco Talos atribuyó los ataques al grupo de amenazas persistentes avanzadas (APT) Turla, acuñando el malware “TinyTurla” por su limitada funcionalidad y su eficiente estilo de codificación que le permite pasar desapercibido. Se cree que los ataques que incorporan la puerta trasera se han producido desde 2020.

“Es probable que este simple backdoor se utilice como una puerta trasera de segunda oportunidad para mantener el acceso al sistema, incluso si el malware principal se elimina”, dijeron los investigadores. “También podría ser utilizado como un dropper de segunda etapa para infectar el sistema con malware adicional”. Además, TinyTurla puede cargar y ejecutar archivos o exfiltrar datos sensibles desde la máquina infectada a un servidor remoto, al tiempo que sondea la estación de mando y control (C2) cada cinco segundos en busca de nuevos comandos.

Conocido también con los nombres de Snake, Venomous Bear, Uroburos y Iron Hunter, el grupo de espionaje patrocinado por Rusia es famoso por sus ciberofensivas contra entidades gubernamentales y embajadas de Estados Unidos, Europa y países del bloque oriental. La campaña de TinyTurla implica el uso de un archivo .BAT para desplegar el malware, pero la ruta exacta de intrusión aún no está clara.

El novedoso backdoor -que se camufla como un inocuo pero falso servicio de tiempo de Microsoft Windows (“w32time.dll”) para pasar desapercibido- se orquesta para registrarse y establecer comunicaciones con un servidor controlado por el atacante para recibir más instrucciones que van desde la descarga y ejecución de procesos arbitrarios hasta la carga de los resultados de los comandos al servidor.

Los vínculos de TinyTurla con Turla provienen de las coincidencias en el modus operandi, que ha sido identificado previamente como la misma infraestructura utilizada por el grupo en otras campañas en el pasado. Pero los ataques también contrastan con las campañas encubiertas históricas del grupo, que han incluido servidores web comprometidos y conexiones por satélite secuestradas para su infraestructura C2, por no mencionar el malware evasivo como Crutch y Kazuar.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *