
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Hello,

<div><br>

</div>

<div>I hope everyone is doing well!</div>

<div><br>

</div>

<div>Below is the entry for today.</div>

<div><br>

</div>

<div>09/21/2021 - Diary entry #352:</div>

<div><br>

</div>

<blockquote style="margin-top:0;margin-bottom:0">

<div>

<p>Briefly mentioned in our Daily Diary #159, the Turla APT is a Russian spy group known for using a Windows API feature called Named Pipes to exchange information and send commands between its malware modules. Recently, a new backdoor used by the group was

 discovered targeting the U.S., Germany, and Afghanistan.</p>

<p><br>

</p>

<p>Named TinyTurla, this new malware acts as a stealth second-chance backdoor. It means that even if the primary malware is removed, TinyTurla is capable of maintaining access to infected devices. Additionally, it can be used as a second-stage dropper due to

 its capabilities to download, upload and execute files.</p>

<p><br>

</p>

<p>Once installed by a .bat file as a service DLL called w64time.dll, the backdoor is executed hidden in the svchost.exe process. This DLL mimics a Windows legitimate service named "Windows Time Service" located in "System32\w32time.dll". First, the backdoor

 reads its configuration from the registry. Then, it authenticates itself at the C2 server and contacts it via HTTPS every five seconds to check if there are new commands from its operator.</p>

<p><br>

</p>

<p>TinyTurla is a simple lightweight threat disclosed recently, but it has been used since at least 2020 by the group. It can be overlooked since it is disguised as a legitimate service. So it is important that a system should have in addition to anti-malware

 solutions, network-based signatures and protections detecting unknown running services.</p>

<p><br>

</p>

<p>This trojan is a great example that when an infection is discovered in one system, it must be completely formatted or restored into a state prior to the infection. Just removing the threat might be enough to stop most attacks, but even skillful analysts

 might miss hidden additional pieces of malware.</p>

<br>

</div>

</blockquote>

<div><br>

</div>

Kind Regards,<br>

</div>

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div></div>

<div style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<table style="font-size:medium; font-family:"Times New Roman"">

<tbody>

<tr>

<td style="width:180px" align="left">

<table width="120" align="left">

<tbody>

<tr>

<td colspan="3" align="center"><a href="https://www.appgate.com/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="120" height="30" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/logo@2x.png"></a></td>

</tr>

<tr>

<td colspan="3" align="center"> </td>

</tr>

<tr>

<td width="37%" align="center"><a href="https://www.linkedin.com/company/appgate-security/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="18" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/likedin@2x.png"></a></td>

<td width="28%"><a href="https://twitter.com/AppgateSecurity" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="20" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/twitter@2x.png"></a></td>

<td width="35%"><a href="https://www.youtube.com/channel/UC-8GvxcZbm-R3EJNl8jYjiQ" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="26" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/youtube@2x.png"></a></td>

</tr>

</tbody>

</table>

<p style="margin-top:0px; margin-bottom:0px"> </p>

</td>

<td colspan="2" rowspan="2" style="width:350px">

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

<strong>Felipe Tarijon de Almeida</strong><br>

Malware Analyst<br>

<strong>Appgate</strong></p>

<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">

E:<span style="margin:0px"> <a href="mailto:felipe.tarijon@appgate.com" title="mailto:felipe.tarijon@appgate.com">

felipe.tarijon@appgate.com</a></span><br>

O:<span> </span><span style="margin:0px; background-color:white">+55 11 97467 9549</span></p>

</td>

</tr>

</tbody>

</table>

<br>

</div>

</div>

</div>

</div>

</body>

</html>