s0668-tinyturla - RunkIntel

# TinyTurla > [!warning] Resumo > Backdoor minimalista de segundo estagio desenvolvido pelo grupo russo Turla (FSB), usado como "ultima chance" de acesso quando o malware principal e detectado e removido. Mascarado como servico Windows Time (w64time.dll), contacta C2 via HTTPS a cada 5 segundos e pode executar comandos, fazer upload/download de arquivos. Ativo desde pelo menos 2020 em alvos nos EUA, Alemanha e Afeganistao. Em 2024, evolução TinyTurla-NG atacou ONGs polonesas pro-democracia. ## Visão Geral O [[s0668-tinyturla|TinyTurla]] e um backdoor deliberadamente simples desenvolvido pelo [[g0010-turla|Turla]] (também conhecido como Snake, Uroburos, Waterbug, Venomous Bear ou KRYPTON), grupo de espionagem cibernetica atribuido com alta confiança ao FSB russo. Descoberto pela Cisco Talos em setembro de 2021, o malware estava ativo desde pelo menos 2020. O conceito fundamental do TinyTurla e ser um backdoor de "segundo plano" minimalista: enquanto o Turla usa ferramentas principais sofisticadas como Kazuar, Carbon ou Snake para operações de espionagem de longo prazo, o TinyTurla e implantado como garantia - se o malware principal for detectado e removido, o TinyTurla permanece oculto, permitindo ao atacante re-comprometer o sistema. A implementacao e deliberadamente simples: uma DLL de servico Windows que quando carregada via svchost.exe contacta o C2 a cada 5 segundos via HTTPS. O backdoor usa o campo de cabecalho HTTP "Title" com o GUID da maquina vitima para comunicação discreta. Pode listar, baixar, enviar e executar arquivos, e processar uma lista de servidores C2 de fallback. A simplicidade do TinyTurla, ao contrario de ser uma fraqueza, e sua vantagem: código simples e mais dificil de detectar por sistemas de ML e heuristicas comportamentais treinados em malware complexo. A Cisco Talos reportou que o Turla usou o backdoor por quase 2 anos sem ser detectado. Em fevereiro de 2024, a Cisco Talos revelou o **TinyTurla-NG** (Next Generation), variante mais sofisticada usada em ataques contra ONGs polonesas trabalhando em democracia e apoio a Ucrania. A nova versao adicionou suporte a PowerShell, comunicação via sites WordPress comprometidos como C2, e o "TurlaPower-NG" - scripts de exfiltração de dados de gerenciadores de senha. **Plataformas:** Windows ## Como Funciona 1. **Instalacao**: Script .bat instala o backdoor como servico Windows falso chamado "Windows Time Service" - mesmo nome do servico legítimo 2. **Configuração**: Parametros gravados no registro Windows (servidores C2, intervalos de polling) 3. **Execução**: Roda via svchost.exe como DLL de servico (w64time.dll) 4. **Comúnicação**: HTTPS a cada 5 segundos com campo "Title: {GUID-da-maquina}" no cabecalho HTTP 5. **Capacidades**: Upload/download de arquivos, execução de comandos via shell, lista de arquivos ## Cadeia de Infecção ```mermaid graph TB A["Comprometimento Inicial Turla usa ferramentas principais Kazuar, Carbon ou Snake"] --> B["Implantação TinyTurla Script .bat instala DLL como servico Windows"] B --> C["Servico Falso Windows Time Service svchost.exe carrega w64time.dll"] C --> D["Configuração no Registro Servidores C2 e intervalos em chaves de registro"] D --> E["Polling HTTPS a cada 5s Title: GUID no cabecalho HTTP Lista de C2 de fallback"] E --> F["Sobrevivencia Se malware principal detectado TinyTurla permanece ativo"] F --> G["Re-compromisso Download de nova ferramenta ou execução de comandos"] ``` ## TinyTurla vs TinyTurla-NG ```mermaid graph TB A["TinyTurla original 2020-2023"] --> B["Servico DLL simples via svchost.exe"] A --> C["HTTPS polling a cada 5s Comandos upload/download"] A --> D["C2 hardcoded em registro"] E["TinyTurla-NG 2023-2024"] --> F["Servico DLL mais complexo Threads com Windows events"] E --> G["PowerShell e cmd.exe Execução de tarefas"] E --> H["WordPress comprometido como C2 PHP"] E --> I["TurlaPower-NG Exfiltração gerenciadores de senha KeePass, etc."] ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTPS com campo Title: GUID | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Canal HTTPS com SSL/TLS para trafico C2 | | C2 | [[t1008-fallback-channels\|T1008]] | Lista de servidores C2 de fallback no registro | | C2 | [[t1029-scheduled-transfer\|T1029]] | Polling agendado a cada 5 segundos | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via shell Windows | | Execução | [[t1569-002-service-execution\|T1569.002]] | Instalado como servico Windows | | Persistência | [[t1112-modify-registry\|T1112]] | Configuração armazenada em registro | | Evasão | [[t1036-004-masquerade-task-or-service\|T1036.004]] | Nome identico ao servico legítimo "Windows Time" | | Evasão | [[t1036-005-match-legitimate-name\|T1036.005]] | DLL nomeada w64time.dll para aparentar legitimidade | | Coleta | [[t1005-data-from-local-system\|T1005]] | Upload de arquivos do sistema comprometido | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | ## Alvos Documentados | Pais | Tipo de Alvo | Período | |------|-------------|---------| | EUA | Governo, organizacoes | 2020-2021+ | | Alemanha | Governo, organizacoes | 2020-2021+ | | Afeganistao | Governo anterior ao Taliban | 2021 | | Polonia | ONGs pro-democracia e pro-Ucrania | 2023-2024 (TTNG) | ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] e reconhecido por alvos globais de espionagem com foco em governos, diplomaticos, militares, ONGs e organizacoes de politica externa. O Brasil, como ator diplomatico regional importante, membro dos BRICS e pais com posicionamento estratégico no contexto da guerra Russia-Ucrania, e potencial alvo de inteligência russa. Organizacoes governamentais brasileiras, embaixadas, ONGs de direitos humanos e organizacoes de apoio a democracia devem estar alertas para implantes de segundo estagio minimalistas como o TinyTurla, que sao projetados específicamente para evadir deteccoes de segurança modernas. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar criação de novos servicos Windows com nomes identicos a servicos legítimos (especialmente "Windows Time") > - Verificar DLLs carregadas pelo svchost.exe - qualquer DLL incomum em `%SystemRoot%\System32\` e suspeita > - Alertar sobre polling HTTPS regular a cada 5 segundos para o mesmo destino (comportamento de beacon) > - Detectar cabecalhos HTTP incomuns com formato "Title: {GUID-format}" em requisicoes HTTPS > - Monitorar criação de chaves de registro com configuracoes de servicos desconhecidos > - Buscar script .bat instalando DLLs como servicos - especialmente comandos `sc create` ou `reg add` suspeitos ## Referências - [MITRE ATT&CK - S0668](https://attack.mitre.org/software/S0668/) - [Cisco Talos - TinyTurla Discovery](https://blog.talosintelligence.com/tinyturla/) - [Cisco Talos - TinyTurla-NG](https://blog.talosintelligence.com/tinyturla-next-generation/) - [Security Affairs - Turla TinyTurla-NG](https://securityaffairs.com/159208/apt/turla-apt-tinyturla-ng-backdoor.html) - [MITRE - Turla Group](https://attack.mitre.org/groups/G0010/)