摘要
Turla(又称为ensive Ursa、Uroburos、Snake)是一个自2004年以来活跃的俄罗斯威胁组织,与俄罗斯联邦安全局(FSB)有关联。在本文中,我们将重点介绍Turla恶意软件库中最近活跃的前10种恶意软件类型,包括Capibar、Kazuar、Snake、Kopiluwak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。
Turla被选为2023年MITRE ATT&CK评估的主要焦点。MITRE已将Turla描述为以有针对性的入侵和创新的隐身技术而著称。此评估的结果,包括Palo Alto Networks的评分,将于2023年9月底发布。
除了详细介绍每种恶意软件的功能和历史外,我们还将从Palo Alto Networks Cortex XDR产品的角度来呈现它们的执行情况。我们将展示Cortex如何防御此类恶意软件,并在Cortex XDR平台中展示它们与MITRE ATT&CK框架的映射。
Turla概述
多年来,Turla已经被认为是一个高级且难以捉摸的对手。该组织展示了高度的技术专业知识,同时进行有针对性且隐秘的攻击。
正如MITRE所描述的,Turla以45多个国家的受害者为目标,涉及了广泛的领域,包括政府机构、大使馆、军事组织,以及教育、研究和制药公司。此外,这个威胁组织还积极参与了从2022年2月开始的俄乌冲突。根据乌克兰CERT的说法,Turla利用了间谍攻击来针对乌克兰目标,特别是针对其国防部门。
尽管Turla主要使用其间谍库来攻击Windows计算机,但该组织也拥有可以攻击macOS和Linux计算机的工具。
MITRE ATT&CK评估
在2023年的MITRE ATT&CK评估中,Turla被选为主要焦点。根据MITRE的说法,这个威胁组织特别重要,因为他们的行动具有全球影响力。
以下是团队库存中最近活跃的前10种恶意软件类型。对于每种恶意软件类型,我们提供了简短的描述和分析,以及Cortex XDR如何检测和防止威胁的信息。
最近的Turla武器库技术分析
恶意软件:Capibar
别名:DeliveryCheck,GAMEDAY
恶意软件类型:后门
首次发现:2022年
描述:Capibar(又名DeliveryCheck,GAMEDAY)是Turla的后门,首次出现于2022年,用于针对乌克兰国防部队的间谍活动。他们通过电子邮件以带有恶意宏的文档进行分发。
Capibar通过定期任务进行持久化,该任务下载并在内存中启动载荷。威胁组织将Capibar安装在被入侵的MS Exchange服务器上,以Managed Object Format(MOF)文件的形式,从而授予攻击者对服务器的完全控制。下图1a显示了负责加载从其命令和控制(C2)接收到的XML的代码片段,图1b显示了触发的警报。
恶意软件:Kazuar
恶意软件类型:后门
首次发现:2017年
描述:Kazuar是一种.NET后门,于2017年被发现。Kazuar可以完全访问其操作者针对的被入侵系统。Kazuar具有强大的命令集,包括远程加载附加插件以增强后门的功能。
在2021年,研究人员发现Kazuar与臭名昭著的SUNBURST后门之间存在有趣的代码重叠和相似之处,俄罗斯威胁组织在SolarWinds行动中使用了SUNBURST后门。在2023年7月,乌克兰CERT揭示了一个间谍行动,Turla在其中使用Kazuar作为主要后门之一。图2显示了Cortex XDR阻止Kazuar DLL被注入到explorer.exe进程中,图3显示了Kazuar阻止触发的警报。
恶意软件:Kazuar
恶意软件类型:后门
首次发现:2017年
描述:Kazuar是一种.NET后门,于2017年被发现。Kazuar可以完全访问其操作者针对的被入侵系统。Kazuar具有强大的命令集,包括远程加载附加插件以增强后门的功能。
在2021年,研究人员发现Kazuar与臭名昭著的SUNBURST后门之间存在有趣的代码重叠和相似之处,俄罗斯威胁组织在SolarWinds行动中使用了SUNBURST后门。在2023年7月,乌克兰CERT揭示了一个间谍行动,Turla在其中使用Kazuar作为主要后门之一。图2显示了Cortex XDR阻止Kazuar DLL被注入到explorer.exe进程中。
恶意软件:Snake
恶意软件类型:模块化后门
首次发现:2003年
描述:臭名昭著的Snake恶意软件是Turla工具集中最复杂的工具,正如CISA在2023年5月所述。该工具的主要目的是实现长时间的持久性,并从专门的目标中窃取数据。自2003年以来,它一直处于积极开发状态,已经发展了20年。
Snake恶意软件在全球50多个国家被发现运行。美国司法部发布了一份声明,宣布了“MEDUSA行动”,他们在该行动中破坏了Snake恶意软件的活动和点对点(P2P)网络。他们使用了由FBI开发的称为PERSEUS的工具,将其用作Snake恶意软件的关键开关。
根据以前的分析,Snake恶意软件实现了可维护的代码设计,显示出其作者具有很高的软件开发能力。
Snake实现了以下功能:
– 自定义的HTTP和TCP通信协议实现
– 用于隐蔽性的内核模块
– 键盘记录功能
Snake的更近期的变种包括与下面描述的相似的感染链。
Snake恶意软件交付的示例
在执行时,Snake加载并执行来自其资源中的Turla的PNG Dropper恶意软件,并创建了一个硬编码的互斥体{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C},如图4所示。
PNG dropper然后解码并加载一个存在漏洞的VM驱动程序,该驱动程序用于提权,以便将主要的Snake payload写入磁盘,并将其注册为服务。
图5中显示的Snake loader变种检测到了导致部署、服务注册和执行主要Snake payload的感染链的多个阶段。图6显示了Cortex XDR中执行预防警报弹出窗口。
恶意软件:QUIETCANARY
别名:Tunnus
恶意软件类型:后门
首次发现:2017年
描述:自2019年以来,已经观察到Turla使用QUIETCANARY,而Tomiris组早在更早时期就使用了这个后门。2022年9月,Turla与Kopiluwak恶意软件一起将QUIETCANARY部署到了乌克兰的目标上。QUIETCANARY是一个用.NET编写的轻量级后门,能够执行从其C2服务器接收的各种命令,包括下载附加载荷和执行任意命令。它还实施了RC4加密以保护其C2通信。图7显示了QUIETCANARY的不同类别,显示了其后门功能。
恶意软件:Kopiluwak
恶意软件类型:传播者/下载器
首次发现:2016年
描述:Kopiluwak恶意软件于2016年底被发现,通过各种类型的传播者以多层JavaScript载荷的形式交付。
Turla于2017年使用MSIL传播者投放了Kopiluwak恶意软件,进行了一次以G20为主题的攻击,并于2022年底以SFX可执行文件的形式进行传播。
Kopiluwak的JavaScript文件如图10所示,并在C:\Windows\Temp\路径下以以下代码片段的形式投放。它的目的是收集感染机器上的有价值的初始配置信息,例如以下信息:
– 列出关键位置的文件
– 检索当前正在运行的进程
– 显示活动网络连接
– 威胁行为者通过运行systeminfo、tasklist、net、ipconfig和dir等侦察命令来实现此活动。结果保存在名为result2.dat的文件中
在图11中列出了Kopiluwak执行的侦察命令,这些命令被Cortex XDR检测到。
2019年,Turla开始使用Topinambour分发Kopiluwak。该组将Topinambour捆绑到合法的软件安装程序中。
安装后,Topinambour被放置在%localappdata%文件夹中,并写入为计划任务,如图13所示。然后,恶意软件会与其硬编码的C2虚拟专用服务器(VPS)通信,以传送Kopiluwak恶意软件。
恶意软件:Crutch
恶意软件类型:后门
首次发现:2015年
描述:2020年12月,ESET研究人员发现了Crutch后门。与Turla的战术、技术和程序(TTPs)一致,威胁行为者使用这个后门攻击了欧洲的一些目标,包括欧盟成员国的外交部。
这个后门的主要目的是最终窃取敏感文件,并将数据外传到由Turla操作员控制的Dropbox帐户。使用Dropbox等商业服务进行C2通信是一种已知(但有效的)技术,因为它是一个合法的服务,并且与其他网络通信融为一体。
由于Crutch的代码和TTPs与Turla的另一个后门Gazer的代码和TTPs存在强烈的相似性,因此将此后门归因于Turla。Crutch被视为第二阶段后门,其持久性是通过DLL劫持实现的。
图15和图16分别显示了Cortex XDR中Crutch的检测和预防。
恶意软件:ComRAT
别名:Agent.btz
恶意软件类型:后门
首次发现:2007年
描述:ComRAT是Turla最古老的后门之一,早期版本的恶意软件被称为Agent.btz。据报道,ComRAT首次被发现是在2007年。自那以后,它进行了多次升级。截至2020年,ComRAT的最新版本是第4版。这个威胁是用C++开发的,威胁行为者使用了PowerShell植入物,比如PowerStallion来部署它。图17显示了PowerShell投放机制。当使用ComRAT时,威胁行为者的主要操作目的是从高价值目标处窃取和外传机密文件。
恶意软件:Carbon
恶意软件类型:后门
首次发现:2014年
描述:Carbon是一个模块化的后门框架,Turla已经使用了多年。Carbon框架包括一个安装程序、一个编排组件、一个通信模块和一个配置文件。
Carbon还具有P2P通信能力,威胁行为者使用它来向受影响网络上的其他受感染机器发送命令。Carbon通过使用像Pastebin这样的合法网络服务提供商接收来自C2的命令。
图19和图20显示了Cortex XDR中检测和预防Carbon的执行。
恶意软件:HyperStack
恶意软件类型:后门
首次发现:2018年
描述:HyperStack(又称SilentMoo、BigBoss)是一种RPC后门,首次于2018年观察到,威胁行为者在针对欧洲政府实体的操作中使用了HyperStack。HyperStack操作使用一个控制器,该控制器使用命名管道通过RPC与受感染环境中使用HyperStack的其他机器进行通信。这种通信方法使攻击者能够控制本地网络上的机器。
HyperStack与Turla的Carbon后门有许多相似之处,如加密方案、配置文件格式和日志约定。
图21和图22分别显示了Cortex XDR中HyperStack的检测和预防。
恶意软件:TinyTurla
恶意软件类型:后门
首次发现:2021年
描述:TinyTurla恶意软件于2021年首次被Talos发现。他们认为它是一个第二阶段后门,并且已经在美国、欧盟以及后来的亚洲目标上看到了它。
TinyTurla的主要特点包括以下内容:
下载附加载荷
上传文件到攻击者的C2服务器
执行其他进程
如图23所示,威胁行为者通过批处理脚本将后门安装为名为Windows Time Service的服务。批处理脚本还负责将C2服务器的数据写入注册表。一旦后门被执行,它就会读取这些值以与其C2通信。它伪装成名为w64time.dll的DLL文件,位于system32文件夹下。
尽管w32time.dll是一个合法的DLL,其他合法的DLL确实有32位和64位的变体,但合法的w64time.dll实际上是不存在的。这种命名惯例旨在进一步让受害者不会怀疑有什么问题。
图24和图25显示了Cortex XDR检测到批处理脚本的写入和执行,W64Time服务以及TinyTurla DLL执行。
总结
Turla是一个被认为是重大且持续存在的对手的高级持续性威胁(APT)组织。作为一个由俄罗斯联邦安全局(FSB)运营的组织,他们使用先进的技术表现出了一种逃避式的作战方式,同时瞄准了全球范围内的各种领域。
我们探讨了Turla武器库中排名前10的恶意软件类型,并通过Palo Alto Networks Cortex XDR产品的视角观察了它们的执行过程。这展示了使用多层保护模型对抗高级威胁的重要性。
成为Turla APT攻击的受害者可能会造成重大损害。后果不仅限于财务损失和数据泄露,还可能涉及到他们侵入关键基础设施的可能性,这可能对国家安全和地缘政治产生影响。因此,每个组织,无论其规模或行业如何,都必须将全面的安全策略放在首位,并投资于多层安全措施,以应对Turla等APT组织不断增长的威胁。
