Les chercheurs en sécurité ont identifié et analysé de nouveaux logiciels malveillants qu’ils appellent TinyTurla-NG et TurlaPower-NG utilisés par le groupe de pirates informatiques russe Turla pour maintenir l’accès au réseau d’une cible et voler des données sensibles.
L’auteur de la menace a utilisé plusieurs sites Web exécutant des versions vulnérables de WordPress à des fins de commande et de contrôle (C2) et pour héberger des scripts PowerShell malveillants.
Turla est un groupe de menaces de cyberespionnage actif depuis au moins 2004 et lié à un service de renseignement russe, en particulier le Service fédéral de sécurité (FSB).
Il se concentre sur le ciblage des organisations de divers secteurs (par exemple, gouvernement, armée, éducation, recherche, pharmaceutique, ONG) à l’aide d’outils personnalisés et de logiciels malveillants.
Sites WordPress pour le commandement et le contrôle
Les chercheurs en sécurité de Cisco Talos ont découvert TinyTurla-NG en enquêtant sur un compromis en collaboration avec le CERT.ONG d’une organisation non gouvernementale polonaise soutenant l’Ukraine pendant l’invasion russe.
Le malware a ciblé l’ONG dès décembre dernier et a déployé les scripts PowerShell TurlaPower-NG pour exfiltrer les mots de passe maîtres des logiciels de gestion de mots de passe populaires.
Selon les chercheurs, TinyTurla-NG cible activement plusieurs ONG en Pologne.
Les serveurs C2 utilisés dans la campagne TinyTurla-NG sont des sites Web WordPress légitimes mais vulnérables, que l’auteur de la menace viole pour configurer des scripts, la journalisation des infections et les répertoires nécessaires pour communiquer avec l’implant et stocker les données volées.
Le malware TinyTurla-NG agit comme une porte dérobée et son objectif est de fournir à l’auteur de la menace un accès au système compromis lorsque tous les autres mécanismes échouent ou lorsqu’ils ont été détectés et supprimés.
Le rapport technique de Cisco Talos explique que TinyTurla-NG est une DLL de service démarrée via svchost.exe et les fonctionnalités du malware sont distribués via divers threads.
En utilisant des commandes stockées sur des sites Web compromis avec une version obsolète de WordPress, les pirates peuvent contrôler TinyTurla-NG avec les commandes suivantes:
- timeout: modifie le nombre de minutes de sommeil de la porte dérobée entre la demande de nouvelles tâches au C2
- change shell: indique à la porte dérobée de changer les commandes d’exécution du shell en cours, c’est-à-dire à partir de cmd.exe vers PowerShell.exe, ou vice versa.
- changepoint: probablement utilisé pour indiquer le passage à la deuxième URL C2 disponible dans l’implant.
- get: récupère un fichier spécifié par le C2 à l’aide d’une requête HTTP GET et l’écrit à un emplacement spécifié sur le disque
- poste: exfiltrer un fichier de la victime vers le C2
- kill me: crée un fichier BAT avec un nom basé sur un paramètre donné
L’exfiltration des données se fait à l’aide de scripts PowerShell malveillants, que les chercheurs ont nommés TurlaPower-NG, livrés via la nouvelle porte dérobée.
« Les scripts se composent de l’URL C2 et des chemins d’accès aux fichiers cibles. Pour chaque chemin de fichier spécifié, le script énumérera récursivement les fichiers et les ajoutera à une archive sur le disque » – Cisco Talos
Pendant l’étape d’énumération, les scripts excluent les fichiers vidéo avec l’extension. MP4. Les données ciblées sont des mots de passe qui déverrouillent un logiciel de gestion de mots de passe ou des bases de données, qui sont enveloppés dans un .Archive au format ZIP.
Il existe au moins trois variantes de la porte dérobée TinyTurla-NG, mais les chercheurs n’ont pu accéder qu’à deux d’entre elles.
Sur la base des résultats, Turla a eu accès à l’infrastructure cible entre le 18 décembre et le 27 janvier. Cependant, selon les dates de compilation des logiciels malveillants, la campagne a probablement commencé dès novembre de l’année dernière.
Bien que le code de TinyTurla-NG soit différent de l’ancien implant TinyTurla de l’auteur de la menace, ils ont tous deux le même usage agissant comme une “porte dérobée secrète” qui continue de fournir un accès lorsque d’autres méthodes échouent. Les deux implants partagent des similitudes dans le style de codage et la mise en œuvre des fonctionnalités.
Cisco Talos met à disposition un petit ensemble d’indicateurs de compromis pour TinyTurla-NG dans les deux .TXT et .Format JSON.