2022 年 9 月,研究人员发现了Turla团伙的可疑行动。该团伙重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域,并有选择地分发侦察程序KOPILUWAK和后门QUIETCANARY。ANDROMEDA 是一种常见的商品恶意软件,于2010年代开始传播,被攻击者劫持的版本于2013年首次上传到VirusTotal,并通过被感染的USB密钥传播。攻击者通过交付第一阶段KOPILUWAK dropper,重新利用作为 ANDROMEDA 已失效 C2 基础设施一部分的休眠域之一来分析受害者。两天后,即 2022 年 9 月 8 日,攻击进入了最后阶段,执行名为QUIETCANARY的基于 .NET 的植入程序,导致 2021 年 1 月 1 日之后创建的文件被泄露。
Turla是一个讲俄语的网络间谍威胁组织,与俄罗斯联邦的FSB部队有密切联系。近日,Turla瞄准了奥地利经济商会、波罗的海国防学院以及一个北约电子学习平台。仿冒域名用于托管名为“War Bulletin 19.00 CET 27.04.docx”的恶意 Word 文档,此文件包含嵌入的 PNG (logo.png),但不包含任何恶意宏,研究人员认为PNG仅用于执行侦察。此外,Turla 还可以访问受害者的 IP 地址,这将有助于后续的攻击阶段。
Google TAG发布了东欧网络活动的更新报告,表示越来越多的攻击者利用战争作为网络钓鱼和恶意软件活动的诱饵,并且更多地针对关键基础设施,包括石油和天然气、电信和制造业。 报告中披露:俄罗斯APT28组织(又名Fancy Bear)使用新的恶意软件变种针对乌克兰的用户;俄罗斯Turla组织针对波罗的海国家的国防和网络安全组织开展活动;俄罗斯COLDRIVER组织(又名Callisto)使用 Gmail 帐户发送凭据网络钓鱼电子邮件,目标包括政府和国防官员、政治家、非政府组织和智囊团以及记者;白俄罗斯Ghostwriter组织通过凭据网络钓鱼攻击Gmail帐户。
研究人员发现了一个名为“Process Manager”的恶意 APK,它充当 Android 间谍软件。一旦安装,Process Manager 会尝试使用齿轮形图标伪装成系统组件,隐藏在 Android 设备上,其请求的权限允许程序获取设备的位置、发送和阅读文本、访问存储、使用相机拍照以及录制音频。收到权限后,间谍软件会删除其图标并在后台运行。研究人员已将该软件与俄罗斯支持的Turla APT组织相关联。伪装成系统服务的通知
俄罗斯Turla APT组织在攻击活动中使用了一个名为TinyTurla的新后门。TinyTurla很可能被用作second-chance后门,以保持主恶意软件被删除的情况下仍可访问受感染,研究人员表示,该后门至少从2020年就开始投入使用。TinyTurla也可以用作第二阶段的释放器,利用其他恶意软件感染系统。目前,研究人员已在美国、德国以及阿富汗观察到了Turla APT组织的受害者。 简况Turla组织又名Snake、Venomous Bear、Uroburos 和 WhiteBear,是一个俄罗斯APT组织,至少自 2004年以来就一直活跃。多年来,该组织以美国、乌克兰或阿拉伯国家为目标,开发并维护了一套庞大的攻击工具,如Crutch或Kazuar。
近日,研究人员披露发现了几个恶意的IronPython脚本,目的是在受害者的系统上加载和运行Turla的恶意软件工具。 Turla使用IronPython的方式很新鲜。总体方法称为自带翻译(BYOI)。它描述了使用解释器(默认情况下不存在于系统上)来运行解释后的编程或脚本语言的恶意代码。第一个恶意IronPython脚本是去年由FireEye的安全研究人员发现的。今年年初,另一名研究人员指出了从两个不同的提交者上传到VirusTotal的同一攻击者的一些新脚本。我们发现其中一个提交者还上传了另外两个示例,它们很可能是IronPython脚本的嵌入式有效负载。这些样本帮助我们了解了该工具的工作原理,加载的恶意软件以及威胁者使用的工具。
俄罗斯黑客组织Turla正在部署一个基于IronPython的恶意软件加载器,称为IronNetInjector,新的加载器通过利用IronPython直接使用.NET Framework API以及Python库的能力来提供ComRAT(一种远程访问木马),具有混淆恶意软件代码以及加密和解密NET注入器和有效载荷的功能。
卡巴斯基研究人员对SolarWinds供应链攻击事件中的Sunburst后门进行了分析,发现一些特征与Kazuar后门重叠。Kazuar是.NET的后门程序,于2017年首次被安全厂商披露,并将其与APT组织Turla联系起来。Sunburst和Kazuar之间有许多不寻常的共享特征,包括受害者身份生成算法、睡眠算法和广泛使用的FNV-1a散列。多年来,Kazuar一直在不断发展。它的开发人员一直在定期对其进行改进,从一个混淆器切换到另一个混淆器,更改算法并更新功能。为了更好地了解Kazuar的开发时间表,我们查看了自2015年以来的所有版本。
ESET研究人员发现了以前未记录的后门Crutch,通过分析,将其归因于Turla APT组织。根据我们的研究,从2015年开始,到2020年初,Turla 在欧盟某国家/地区的外交部网络上使用了Crutch,这表明该恶意软件仅针对非常特定的目标。我们认为Crutch是Turla武器库的一部分,是一个恶意软件家族。根据ESET LiveGrid®的数据,Turla在欧盟的一个国家的外交部的几台机器上使用了Crutch工具。这些工具旨在将敏感文档和其他文件发送给攻击者控制的Dropbox帐户。我们收集了506个不同的时间戳,它们的时间范围是从2018年10月到2019年7月。它们如下图所示。
ESET研究人员发现了Turla组织使用的新后门和窃密工具Crutch,分析认为Crutch并非第一阶段的后门程序,而是在攻击者入侵组织网络之后才部署的。入侵手段包括,使用第一阶段植入物Skipper,然后通过横向移动来破坏本地网络上的其他计算机,使用PowerShellEmpire。Crutch包括一个后门,该后门使用官方HTTPAPI与硬编码的Dropbox帐户进行通信。它可以执行基本命令,例如读写文件或执行其他进程。它通过对Chrome,Firefox或OneDrive的DLL劫持而持久存在。在某些变体中,使用GitHub或常规域名作为C2通道。