Sicherheitsforschern von Cisco Talos gelang es, eine neue Malware zu analysieren, welche seit mindestens Dezember 2023 von der dem russischen FSB zugeordneten Cybergruppierung Turla eingesetzt wird. Die Schadsoftware setzt sich aus zwei Teilen zusammen: TinyTurla-NG und TurlaPower-NG. Diese ermöglichen es den Angreifern Master-Passwörter von beliebten Passwort-Management-Anwendungen zu exfiltrieren. Turla ist eine Cybergruppierung, die dem russischen Inlandsgeheimdienst (FSB) zugeordnet wird.
Bei den in der TinyTurla-NG-Kampagne verwendeten C2-Servern handelt es sich um legitime, aber verwundbare WordPress-Webseiten. Der Akteur kompromittiert diese Seiten und richtet auf ihnen Skripte, Infektionsprotokolle und Verzeichnisse ein. Diese wiederum sind für die Kommunikation mit der Malware und der Speicherung gestohlener Daten erforderlich.
TinyTurla-NG fungiert dabei als Backdoor und soll dem Angreifer dauerhaften Zugriff auf das kompromittierte System verschaffen. TurlaPower-NG ermöglicht es den Angreifern anschließend, die erbeuteten Daten zu exfiltrieren.
Bislang richteten sich die Angriffe gegen NGOs aus Polen, welche die Ukraine seit Beginn des Krieges unterstützen. Der Cyberabwehr des Landesamts für Verfassungsschutz (LfV BW) sind bislang keine derartigen Angriffe gegen Ziele in Deutschland bekannt. Aufgrund der fortwährenden Unterstützung der Ukraine kann jedoch nicht ausgeschlossen werden, dass auch deutsche Ziele ins Visier der Angreifer geraten.
Cisco Talos stellt neben einem ausführlichen Bericht zu Turlas neuer Malware auch Indicators of Compromise
(IoCs) zur Verfügung. Die Cyberabwehr des LfV BW rät daher zur Prüfung der eigenen Systeme und Netze auf eine mögliche
Betroffenheit anhand der IoCs.