Vorgehensweise von Turla mit TinyTurla-NG

Zunächst verschafft sich Turla Zugang zu einem System. Dann werden Antiviren-Produkte so umkonfiguriert, dass die Malware, die eingeschleust werden soll, nicht erkannt wird. Im Anschluss installiert Turla das Backdoor-Programm TinyTurla-NG (TTNG). Diese Malware sucht nach interessant erscheinenden Informationen in den Verzeichnissen, um sie danach über einen C2-Kanal auszuschleusen. Hierfür nutzt die Gruppierung zusätzlich eine Malware mit dem Namen Chisel. Im weiteren Verlauf des Angriffs sind Seitwärtsbewegungen innerhalb des kompromittierten System möglich, um weitere wichtig erscheinende Dateien zu identifizieren und zu exfiltrieren.

Beobachtet wurde diese Vorgehensweise seit Dezember 2023 bei einem Angriff auf eine polnische Nicht-Regierungs-Organisation. Außerdem ist bekannt, dass Turla westliche Ziele angreift. Deshalb ist ein Angriff auch auf deutsche Unternehmen und Organisationen nicht auszuschließen.

Wer ist Cert NGO?

Cert NGO unterstützt Nicht-Regierungs-Organisationen kostenlos bei der Bewältigung von Cyber-Angriffen. Cert NGO hat seinen Sitz in Warschau.

• Nutzen Sie die veröffentlichten IoCs.
• Halten Sie Ihre Programme auf dem aktuellsten Stand.
• Implementieren Sie Regeln für starke, komplexe Passwörter zum Schutz Ihrer Konten. Dasselbe Passwort sollte immer nur für einen einzigen Zugang verwendet werden.
• Verwenden Sie Multi-Faktor-Authentifizierung (MFA).
• Prüfen Sie regelmäßig, ob Updates zu verwendeten Betriebssystemen, Software und Firmware vorliegen. Installieren Sie diese Updates schnellstmöglich.
• Richten Sie automatische Updates für verwendete Betriebssysteme, Software und Firmware ein, wenn möglich.
• Installieren Sie nur Software von namhaften Entwicklern und aus vertrauenswürdigen Quellen.
• Aktivieren Sie ein Virenschutzprogramm.
  • Prüfen Sie regelmäßig, ob der Hersteller Updates bereitstellt.
  • Richten Sie automatische Updates für das Virenschutzprogramm ein oder installieren Sie verfügbare Updates schnellstmöglich.