TinyTurla-NG пустила корни в польских организациях: прогнать хакеров не сможет уже никто

В конце 2023 года специалисты Cisco Talos выявили кампанию группировки UNC4210, направленную на польские неправительственные организации. В ходе атак использовалась новая программа-вымогатель TinyTurla-NG.

Особенностью TinyTurla-NG является способность действовать как запасной бэкдор, который активируется, когда остальные способы взлома обнаруживаются или блокируются. Зафиксированная кампания длилась с 18 декабря 2023 года по 27 января 2024 года, хотя есть предположения, что атаки могли начаться и в ноябре 2023 года.

Распространение вируса происходит через скомпрометированные сайты на WordPress, которые используются в качестве сервера управления и контроля (Command and Control, C2). TinyTurla-NG может выполнять команды с C2-сервера, загружать и выгружать файлы, а также доставлять скрипты для кражи паролей из баз данных управления паролями.

TinyTurla-NG также выступает в качестве канала для доставки сценариев PowerShell, получивших название TurlaPower-NG, которые предназначены для извлечения информации, используемой для защиты баз данных паролей популярного менеджера паролей.

Специалисты подчеркивают, что кампания сфокусирована на небольшом числе организаций, преимущественно в Польше, что подчеркивает предусмотрительность хакеров в вопросе усложнения анализа вредоносной активности.