Cisco Talos hat in einem Beitrag neue Erkenntnisse und TTPs zur russischen APT-Gruppierung Turla veröffentlicht.
Deren aktuelle Kampagne nutzt eine Backdoor mit dem Namen TinyTurla-NG (TTNG) , um wertvolle Informationen aus infizierten Unternehmensnetzwerken zu stehlen. Über eine gemeinsame Analyse mit CERT.NGO wurde darüber hinaus bekannt, dass die Gruppierung bereits mehrere Systeme einer europäischen Nichtregierungsorganisation (NGO) kompromittiert hat.
Bei der aktuellen Kampagne geht Turla so vor, dass u.a. lokal installierte Antiviren-Produkte umkonfiguriert werden, so dass die eigene Malware nicht erkannt wird (Whitelisting). Des Weiteren wird ein Dienst mit dem Namen „sdm“ („Service Device Manager“) auf dem System installiert, der hauptsächlich die TTNG-Dateien auf dem System halten soll.
Zudem nutzt die Gruppe Chisel zur Datenexfiltration und für den Netzwerkzugang. Die Infektionskette umfasst also das Einrichten von Antivirus-Ausnahmen, die Bereitstellung von TTNG, und das Erstellen eines Proxy-Tunnels für die Fernsteuerung weiterer Systeme im Netzwerk. Die bislang bekannten Betroffenen wurden ab Oktober 2023 kompromittiert, mit umfangreichen Datenexfiltrationen im Januar 2024.
Diese Informationen sind besonders relevant für deutsche Unternehmen und Organisationen, da Turla bekanntermaßen westliche Ziele angreift. Es unterstreicht die Notwendigkeit, die Cybersicherheitsmaßnahmen zu verstärken und auf die neuesten Bedrohungsinformationen zu achten.
Für detaillierte Informationen, sowie IOCs zur aktuellen Kampagne besuchen Sie bitte das Cisco Talos Blog.