与俄罗斯有关的威胁行为者 Turla 感染了属于一个未透露姓名的欧洲非政府组织 (NGO) 的多个系统，以便部署一个名为TinyTurla-NG的后门。

思科 Talos在今天发布的一份新报告中表示：“攻击者破坏了第一个系统，建立了持久性，并为这些端点上运行的防病毒产品添加了排除项，作为其初步破坏后行动的一部分。”

“然后，Turla 通过 Chisel 打开了额外的通信渠道，用于数据泄露并转向网络中其他可访问的系统。”

有证据表明，受感染的系统早在 2023 年 10 月就遭到破坏，Chisel 于 2023 年 12 月部署，一个月后（即 2024 年 1 月 12 日左右）通过该工具发生数据泄露。

TinyTurla-NG 于上个月首次被该网络安全公司记录在案，此前该公司被发现与针对波兰非政府组织的网络攻击有关，该非政府组织致力于改善波兰民主并在俄罗斯入侵期间支持乌克兰。

思科塔洛斯表示，该活动似乎针对性很强，主要针对少数组织，其中大部分位于波兰。

攻击链涉及 Turla 利用其初始访问权限来配置 Microsoft Defender防病毒排除项，以逃避检测并删除 TinyTurla-NG，然后通过创建伪装成“系统设备管理器”服务的恶意“sdm”服务来持久保存该服务。

TinyTurla-NG 充当后门，用于进行后续侦察、将感兴趣的文件泄露到命令和控制 (C2) 服务器，以及部署 Chisel 隧道软件的定制版本。确切的入侵途径仍在调查中。

Talos 研究人员表示：“一旦攻击者获得了新盒子的访问权限，他们就会重复创建 Microsoft Defender 排除项、删除恶意软件组件并创建持久性的活动。”

文章原文链接:https://www.anquanke.com/post/id/294209