Turla简介
俄罗斯基础的Turla被认为是一个高度复杂的高级持续威胁(APT)组织,据推测至少自2004年以来一直在活动。
Turla的组织名称以其顶级的rootkit命名,如Snake、Venomous Bear、WhiteBear、Uroburos、Group 88和Waterbug,这些名称都因瞄准全球政府机构、情报机构以及军事、教育、研究和制药行业而臭名昭著。与其他APT组织一样,Turla拥有自己专门设计的复杂工具。然而,正是该威胁行为者组织在攻击的后期阶段使用的基于卫星的命令与控制(C&C)机制,以及其能够低调行事的能力,使Turla从其同行中脱颖而出。
揭示Turla的活动
2014年
8月:Turla的”史诗”故事
尽管Turla已经在野外活跃了好几年,但其感染途径一直是个疑问。2014年进行的研究表明,使用Turla的恶意软件家族Epic进行了复杂的多阶段攻击,该攻击活动被称为”Epic Turla”。这些攻击利用了漏洞CVE-2013-5065和CVE-2013-3346,采用了利用Adobe PDF漏洞的定向钓鱼邮件以及利用Java漏洞(CVE-2012-1723)的诱饵攻击技术。
这次攻击活动的主要亮点是Turla使用了更复杂的后门,如Carbon/Cobra,有时该组织会同时使用这两个后门作为故障转移。
12月:Turla瞄准Linux
尽管之前的Turla攻击活动旨在针对基于Windows的计算机,但2014年8月的攻击活动是Turla首次瞄准Linux操作系统的情况。被称为Penguin Turla,该组织使用了一个Linux Turla模块,其中包含一个C/C++可执行文件,静态链接到多个库,从而大幅增加了该活动的文件大小。
2016年
1月:Waterbug攻击活动
一组威胁行为者被称为Waterbug(据称是一个国家支持的组织),使用了Trojan.Turla和Trojan.Wipbot的变种来利用零日漏洞,特别是Windows Kernel NDProxy.sys本地权限升级漏洞CVE-2013-5065。一篇研究报告表明,攻击者使用特制的带有恶意附件的电子邮件以及一组受感染的网站来传递恶意载荷。
2017年
3月:Carbon后门
在2017年,ESET发布了一篇关于Turla恶意软件的高级变种的研究文章,介绍了一个被称为Carbon的第二阶段后门。Carbon攻击最初涉及受害者要么接收针对性钓鱼邮件,要么访问受感染的网站,也被称为诱饵网站。
随后会安装第一阶段后门,如Tavdig或Skipper。在完成复兴活动后,第二阶段后门Carbon会安装在关键系统上。Carbon框架包括一个用于安装其配置文件的投放器,一个用于与C&C服务器通信的组件,一个用于处理任务并在网络上横向移动的协调器,以及一个用于执行协调器的加载器。
5月 – Kazuar后门
在2017年五月,一个名为Kazuar的新后门特洛伊木马被与Turla组织联系在一起。Kazuar使用Microsoft .NET Framework编写,包含高度功能的命令集,能够远程加载附加插件。
Kazuar收集系统和恶意软件文件名信息,并创建一个互斥体,以确保在系统上一次只执行一个恶意软件实例。然后,它将一个LNK文件添加到Windows启动文件夹中。
Kazuar中的大多数命令集与其他后门特洛伊木马具有相似的属性。例如,tasklist命令使用Windows管理工具(WMI)查询来获取Windows中正在运行的进程,而info命令用于收集有关打开窗口的信息。同时,Kazuar的cmd命令将在Windows系统上使用cmd.exe运行命令,在Unix系统上使用/bin/bash。这些命令强烈表明,Kazuar被设计成一个面向Windows和Unix系统的跨平台恶意软件。
2021年初的研究揭示了Sunburst和Kazuar后门之间的一些相似之处。
8月:Gazer的出现
在八月,Turla发布了一个新的用C++编写的第二阶段后门,被称为Gazer,它依赖于诱饵攻击和钓鱼活动,以更精确地瞄准受害者。
除了更加隐秘外,Gazer与先前使用的第二阶段后门,如Carbon和Kazuar,有许多相似之处。这次攻击活动的定义特征是在代码中插入了与“视频游戏相关”的句子。Turla使用自己的库对Gazer的C&C服务器进行了3DES和RSA的加密。
2018年
1月:Turla增加了新工具
一份2018年的情报报告表明,Turla在与Snake rootkit一起使用新的恶意工具Neuron和Nautilus,以瞄准Windows机器,特别关注邮件和Web服务器。Turla利用现有的Snake受害者来扫描ASPX shell,命令通过加密的HTTP cookie值传递。该报告还提到,Turla使用ASPX shell来进入目标系统,以部署附加工具。
8月:Turla瞄准Microsoft Outlook
Turla通过一个后门瞄准了欧洲政府的外国办公室,意图获取高度敏感的信息。该攻击活动以瞄准Microsoft Outlook和The Bat!(一款主要在东欧使用的流行邮件客户端)为目标,将所有外发邮件转发给攻击者。该后门使用电子邮件消息来泄露数据,采用特制的PDF文档。它还使用电子邮件消息作为其C&C服务器的传输层。
2019年
6月:Turla使用OilRig基础设施
OilRig是一个与伊朗相关的APT组织,通常瞄准中东的政府机构和组织。先前的研究表明,Turla组织利用了OilRig的基础设施来攻击目标。该攻击活动使用了经过大幅修改的自定义Mimikatz工具的变种,以及一组包含多个新后门的新工具。在攻击活动的后期阶段,Turla组织使用了不同的远程过程调用(RPC)后门,其中包含了公开可用的PowerShell Runner工具的代码,以执行PowerShell脚本(而不是使用powershell.exe)。
2020年
3月:新的.NET和Python后门:Netflash和PyFlash
2020年三月,安全研究人员观察到Turla使用诱饵攻击瞄准了多个亚美尼亚网站。这些网站被植入了恶意JavaScript代码,尽管攻击中使用的访问方法尚不清楚。
受感染的网页随后传递了第二阶段的恶意JavaScript代码,以识别受害者的浏览器并诱使他们安装恶意的Flash安装程序。Turla随后使用NetFlash(一个.NET下载器)和PyFlash作为其第二阶段恶意软件。
5月:ComRAT v4
ComRAT v4,又称为Agent.BTZ,是Turla使用的一种远程访问特洛伊木马(RAT),使用C++开发,并使用虚拟的FAT16文件系统,通常用于泄露敏感文档。它是使用现有的访问方法部署的,例如PowerStallion PowerShell后门。此外,它还使用HTTP和电子邮件作为C&C通道。
12月:Crutch后门
在2020年十二月,一个先前未记录的后门和文档窃取器被归因于Turla组织,被命名为Crutch。显然,较早版本的Crutch包括一个后门,使用官方的HTTP API与一个硬编码的Dropbox帐户进行通信。
它具有执行与文件的读写、执行附加进程以及通过DLL劫持在Google Chrome、Mozilla Firefox或Microsoft OneDrive上设置持久性的能力。Crutch v4的一个主要特点是它可以使用Windows版本的Wget实用程序自动将在本地和可移动驱动器上找到的文件上传到Dropbox存储(不像以前的版本依赖于后门命令)。
2021年
9月:TinyTurla
被称为TinyTurla的新Turla后门可能被用作备用选项,以便在主要恶意软件被移除时仍然保持对系统的访问权限。这个后门是使用批处理文件安装的,以一个名为w64time.dll的服务DLL的形式存在,它试图伪装成Windows系统上合法的w32time.dll文件。
2022年
5月:基于钓鱼的侦察活动
Turla在2022年五月的活动仅用于侦察,没有涉及任何恶意代码的使用。安全研究人员发现了一个文档,通过HTTP向其自己控制的服务器执行请求,目的是捕获受害者使用的Microsoft Word应用程序的版本和类型。这些信息随后可以用来基于Microsoft Word版本创建特定的漏洞利用。
2023年
7月:使用Capibar和Kazuar的攻击
乌克兰计算机应急响应团队(CERT-UA)于2023年七月发布的通告揭示,Turla组织正在使用Capibar恶意软件和Kazuar后门进行对乌克兰防御性资产的间谍攻击。在这次攻击活动中,Capibar用于情报收集,而Kazuar执行了凭证窃取。该攻击通过利用钓鱼攻击瞄准了外交和军事组织。
结论
Turla组织是一个长期存在并有着悠久历史的顽固对手。他们的起源、战术和目标都表明这是一次资金充裕、操作人员高度熟练的行动。Turla组织多年来不断发展其工具和技术,并可能会继续完善它们。
像Turla这样的组织所构成的威胁强调了组织和政府必须保持警惕,通过保持信息更新、共享情报并实施安全措施,使组织和个人能够更好地保护自己免受这类威胁行为者的侵害。
