安全星图平台

Turla

Turla是一个总部位于俄罗斯的威胁组织，自2004年以来，已经在45个国家/地区感染了受害者，其中包括政府，大使馆，军队，教育，研究和制药公司等行业。2015年中期，活动增多。 Turla以进行水坑和鱼叉式钓鱼运动以及利用内部工具和恶意软件而闻名。 Turla的间谍平台主要用于Windows机器，但也被用于对抗macOS和Linux机器。

历史活动组织概况 IOC情报

2023-10-08
Turla APT组织的活动分析安恒威胁情报中心

研究人员分析了 Turla 的网络间谍组织多年来的活动，关注关键的 MITRE 技术以及与威胁行为者组织相关的相应 ID。Turla组织的活动历史悠久。他们的起源、战术和目标都表明他们的行动资金雄厚，操作人员技术精湛。Turla 多年来不断开发其工具和技术，并且可能会继续完善它们。
2023-10-07
Turla组织最近活跃的十种恶意软件分析安恒威胁情报中心

Turla武器库中最近活跃的 10 种恶意软件类型包括：Capibar、Kazuar、Snake、Kopiluwak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack 和 TinyTurla。9月15日，研究人员发布报告，分析了这10种恶意软件的类型和功能。
2023-07-25
Turla组织攻击乌克兰和东欧国家的国防组织安恒威胁情报中心

自2022年以来，Turla组织利用CAPIBAR进行间谍活动（又名DeliveryCheck、GAMEDAY）。攻击始于包含恶意宏的Excel XLSM附件，激活后恶意宏会执行PowerShell命令，创建一个冒充Firefox浏览器更新程序的计划任务。此任务会下载CapiBar后门，然后使用Rclone工具窃取数据。同时，在某些情况下，受影响的计算机上会加载一个复杂的多功能KAZUAR后门，该后门实现了40多个功能，包括使用ChakraCore启动JS、从操作系统日志中获取数据等。
2023-01-09
俄罗斯Turla组织利用已有十年之久的恶意软件部署新后门安恒威胁情报中心

2022 年 9 月，研究人员发现了Turla团伙的可疑行动。该团伙重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域，并有选择地分发侦察程序KOPILUWAK和后门QUIETCANARY。ANDROMEDA 是一种常见的商品恶意软件，于2010年代开始传播，被攻击者劫持的版本于2013年首次上传到VirusTotal，并通过被感染的USB密钥传播。攻击者通过交付第一阶段KOPILUWAK dropper，重新利用作为 ANDROMEDA 已失效 C2 基础设施一部分的休眠域之一来分析受害者。两天后，即 2022 年 9 月 8 日，攻击进入了最后阶段，执行名为QUIETCANARY的基于 .NET 的植入程序，导致 2021 年 1 月 1 日之后创建的文件被泄露。
2022-05-24
Turla组织展开新的侦查活动安恒威胁情报中心

Turla是一个讲俄语的网络间谍威胁组织，与俄罗斯联邦的FSB部队有密切联系。近日，Turla瞄准了奥地利经济商会、波罗的海国防学院以及一个北约电子学习平台。仿冒域名用于托管名为“War Bulletin 19.00 CET 27.04.docx”的恶意 Word 文档，此文件包含嵌入的 PNG (logo.png)，但不包含任何恶意宏，研究人员认为PNG仅用于执行侦察。此外，Turla 还可以访问受害者的 IP 地址，这将有助于后续的攻击阶段。
2022-05-05
东欧网络攻击活动分析安恒威胁情报中心

Google TAG发布了东欧网络活动的更新报告，表示越来越多的攻击者利用战争作为网络钓鱼和恶意软件活动的诱饵，并且更多地针对关键基础设施，包括石油和天然气、电信和制造业。报告中披露：俄罗斯APT28组织（又名Fancy Bear）使用新的恶意软件变种针对乌克兰的用户；俄罗斯Turla组织针对波罗的海国家的国防和网络安全组织开展活动；俄罗斯COLDRIVER组织（又名Callisto）使用 Gmail 帐户发送凭据网络钓鱼电子邮件，目标包括政府和国防官员、政治家、非政府组织和智囊团以及记者；白俄罗斯Ghostwriter组织通过凭据网络钓鱼攻击Gmail帐户。
2022-04-02
Process Manager：与俄罗斯Turla APT组织有关的 Android 恶意软件猎影实验室

研究人员发现了一个名为“Process Manager”的恶意 APK，它充当 Android 间谍软件。一旦安装，Process Manager 会尝试使用齿轮形图标伪装成系统组件，隐藏在 Android 设备上，其请求的权限允许程序获取设备的位置、发送和阅读文本、访问存储、使用相机拍照以及录制音频。收到权限后，间谍软件会删除其图标并在后台运行。研究人员已将该软件与俄罗斯支持的Turla APT组织相关联。伪装成系统服务的通知
2021-09-22
Turla组织使用新后门攻击前阿富汗政府猎影实验室

俄罗斯Turla APT组织在攻击活动中使用了一个名为TinyTurla的新后门。TinyTurla很可能被用作second-chance后门，以保持主恶意软件被删除的情况下仍可访问受感染，研究人员表示，该后门至少从2020年就开始投入使用。TinyTurla也可以用作第二阶段的释放器，利用其他恶意软件感染系统。目前，研究人员已在美国、德国以及阿富汗观察到了Turla APT组织的受害者。简况Turla组织又名Snake、Venomous Bear、Uroburos 和 WhiteBear，是一个俄罗斯APT组织，至少自 2004年以来就一直活跃。多年来，该组织以美国、乌克兰或阿拉伯国家为目标，开发并维护了一套庞大的攻击工具，如Crutch或Kazuar。
2021-02-22
IronNetInjector：Turla组织使用的新恶意软件加载工具猎影实验室

近日，研究人员披露发现了几个恶意的IronPython脚本，目的是在受害者的系统上加载和运行Turla的恶意软件工具。 Turla使用IronPython的方式很新鲜。总体方法称为自带翻译（BYOI）。它描述了使用解释器（默认情况下不存在于系统上）来运行解释后的编程或脚本语言的恶意代码。第一个恶意IronPython脚本是去年由FireEye的安全研究人员发现的。今年年初，另一名研究人员指出了从两个不同的提交者上传到VirusTotal的同一攻击者的一些新脚本。我们发现其中一个提交者还上传了另外两个示例，它们很可能是IronPython脚本的嵌入式有效负载。这些样本帮助我们了解了该工具的工作原理，加载的恶意软件以及威胁者使用的工具。
2021-02-18
IronNetInjector:Turla的新恶意软件加载工具 paloalto

俄罗斯黑客组织Turla正在部署一个基于IronPython的恶意软件加载器，称为IronNetInjector，新的加载器通过利用IronPython直接使用.NET Framework API以及Python库的能力来提供ComRAT（一种远程访问木马），具有混淆恶意软件代码以及加密和解密NET注入器和有效载荷的功能。
查看更多