检查Turla APT组织的活动

Turla 简介

总部位于俄罗斯的 Turla 被视为高度复杂的高级持续威胁 (APT) 组织，至少从 2004 年起就被怀疑在运作。

Turla 的组织名称因其顶级 Rootkit 而臭名昭著，例如 Snake、Venomous Bear、WhiteBear、Uroburos、Group 88 和 Waterbug，所有这些都以政府实体、情报机构以及军事、教育、研究和组织为目标。世界各地的制药工业。与其他 APT 组织一样，Turla 拥有自己专门设计的复杂工具。然而，正是威胁行为者在攻击后期使用的基于卫星的命令和控制 (C&C) 机制，加上其在雷达下飞行的能力，使 Turla 在同类产品中脱颖而出。

揭秘 Turla 的活动

2014年

八月：“epic”Turla 故事

尽管人们知道 Turla 在野外活跃多年，但其感染媒介一直是一个问号。2014 年进行的研究表明，使用 Epic（Turla 使用的恶意软件系列）进行了复杂的多阶段攻击，该活动被称为 Epic Turla。这些攻击利用了漏洞 CVE-2013-5065 和 CVE-2013-3346，使用了利用 Adob​​e PDF 漏洞的鱼叉式网络钓鱼电子邮件和利用 Java 漏洞的水坑技术 （CVE-2012-1723 ）

这次活动的主要亮点是 Turla 使用了更复杂的后门，例如 Carbon/Cobra，该组织有时使用两个后门作为故障转移。

图 1. 2014 年 8 月活动中使用的 MITRE ATT&CK 技术

12 月：Turla 瞄准 Linux

虽然之前的 Turla 活动旨在针对基于 Windows 的计算机，但 2014 年 8 月的活动是 Turla 首次针对 Linux 操作系统。该组织被称为Penguin Turla，使用 Linux Turla 模块，其中包含与多个库静态链接的 C/C++ 可执行文件，从而大大增加了该活动的文件大小。

2016年

一月：Waterbug 运动

一个名为 Waterbug 的威胁组织（据称是国家资助的组织）使用 Trojan.Turla 和 Trojan.Wipbot 的变种来利用零日漏洞，特别是 Windows 内核 NDProxy.sys 本地权限提升漏洞 CVE-2013- 5065。一项研究表明，攻击者使用带有恶意附件的特制电子邮件和一组受感染的网站来传递恶意负载。

2017年

三月：Carbon 后门

2017 年，ESET 发布了一篇关于Turla 恶意软件的复杂变体的研究文章，这是一种称为 Carbon 的第二阶段后门。Carbon 攻击最初涉及受害者接收鱼叉式网络钓鱼电子邮件或访问受感染的网站（也称为水坑）。

然后安装第一阶段后门，例如 Tavdig 或 Skipper。第二阶段的后门Carbon将在复兴活动完成后安装在关键系统上。Carbon 框架由一个用于安装其配置文件的 dropper、一个与 C&C 服务器通信的组件、一个用于处理任务并通过网络横向移动任务的编排器以及一个用于执行编排器的加载器组成。

五月——Kazuar 后门

2017 年 5 月，一个名为Kazuar的新后门木马与 Turla 组织有关联。Kazuar 使用 Microsoft .NET Framework 编写，包含功能强大的命令集，能够远程加载其他插件。

Kazuar 收集系统和恶意软件文件名信息并创建互斥体，以确保一次只有一个恶意软件实例在系统上执行。然后，它将 LNK 文件添加到 Windows 启动文件夹中。

Kazuar 中的大多数命令集与其他后门木马具有相似的属性。例如，tasklist命令使用 Windows Management Instrumentation (WMI) 查询从 Windows 获取正在运行的进程，而info命令用于收集有关打开的窗口的信息。同时，Kazuar 的cmd命令将使用Windows 系统的cmd.exe和 Unix 系统的/bin/bash运行命令。这些命令强烈表明 Kazuar 是一款针对 Windows 和 Unix 系统的跨平台恶意软件。

2021 年初进行的研究揭示了 Sunburst 和 Kazuar 后门之间的一些相似之处。

图 2. Kazuar 活动中使用的 MITRE ATT&CK 技术

八月：凝视者的出现

8 月，Turla 推出了一个用 C++ 编写的新第二阶段后门，称为Gazer，它依靠水坑攻击和鱼叉式网络钓鱼活动来更精确地瞄准受害者。

除了更加隐蔽之外，Gazer 还被发现与之前使用的第二阶段后门（例如 Carbon 和 Kazuar）有很多相似之处。该活动的显着特征是在整个代码中插入“视频游戏相关”句子。Turla 使用自己的 3DES 和 RSA 库对 Gazer 的 C&C 服务器进行加密。

图 3. Gazer 活动中使用的 MITRE ATT&CK 技术

2018年

一月：Turla 为其武器库添加了新工具

2018 年的一份情报报告表明，Turla 使用名为 Neuron 和 Nautilus 的新恶意工具与 Snake Rootkit 结合来瞄准 Windows 计算机，特别是邮件和 Web 服务器。Turla 利用现有的 Snake 受害者来扫描 ASPX shell，并使用加密的 HTTP cookie 值传递命令。该条目还提到 Turla 使用 ASPX shell 进入目标系统以部署其他工具。

8 月：Turla 瞄准 Microsoft Outlook

Turla通过后门瞄准欧洲各国政府的外交部，目的是获取高度敏感的信息。该活动针对的是 Microsoft Outlook 和 The Bat! （主要在东欧使用的流行邮件客户端）将所有传出电子邮件转发给攻击者。该后门使用电子邮件和特制的 PDF 文档来窃取数据。它还使用电子邮件作为其 C&C 服务器的传输层。

2019年

六月：Turla 使用 OilRig 基础设施

OilRig 是一个与伊朗有关的 APT 组织，通常针对中东的政府机构和组织。之前的研究表明 Turla 组织利用 OilRig 的基础设施破坏了目标。该活动使用了经过大量修改的自定义变体Mimikatz 工具，以及一组涉及多个新后门的新工具。在活动的后期阶段，Turla 组织使用了不同的远程过程调用 (RPC) 后门，其中包括来自公开可用的 PowerShell Runner 工具的代码来执行 PowerShell 脚本（不使用 powershell.exe ）。

2020年

三月：用 .NET 和 Python 编写的新后门

2020 年 3 月，安全研究人员观察到Turla 使用水坑攻击针对多个亚美尼亚网站。这些网站被植入了恶意JavaScript代码，但攻击所使用的访问方式尚不清楚。

然后，受感染的网页将第二阶段的恶意 JavaScript 代码传递给受害者浏览器进行指纹识别，并诱骗他们安装恶意 Flash 安装程序。Turla 随后将 NetFlash（.NET 下载器）和 PyFlash 用于其第二阶段恶意软件。

图 4. 2020 年 3 月活动中使用的 MITRE ATT&CK 技术

5 月：ComRAT v4

ComRAT v4也称为 Agent.BTZ，是 Turla 使用的远程访问木马 (RAT)，使用 C++ 开发，并采用虚拟 FAT16 文件系统，通常用于窃取敏感文档。它使用现有的访问方法进行部署，例如 PowerStallion PowerShell 后门。此外，它使用 HTTP 和电子邮件作为 C&C 通道。

图 5. ComRAT v4 攻击中使用的 MITRE ATT&CK 技术

十二月：Crutch 后门

2020 年 12 月，一个名为 Crutch 的先前未记录的后门和文件窃取者被归咎于 Turla 组织。显然，旧版本的 Crutch 包含一个后门，该后门使用官方 HTTP API 与硬编码的 Dropbox 帐户进行通信。

它能够执行与文件读写、执行附加进程以及通过 Google Chrome、Mozilla Firefox 或 Microsoft OneDrive 上的 DLL 劫持设置持久性相关的命令。Crutch v4 的一大特点是，它可以使用 Windows 版本的 Wget 实用程序自动将本地和可移动驱动器上找到的文件上传到 Dropbox 存储（与依赖后门命令的之前版本不同）。

图 6.Crutch 攻击中使用的 MITRE ATT&CK 技术

2021年

九月：TinyTurla

名为 TinyTurla 的新 Turla 后门可能被用作故障转移选项，即使主要恶意软件被删除，也能保持对系统的访问。该后门是使用批处理文件安装的，并以名为w64time.dll的服务 DLL 的形式出现，它试图模拟Windows 系统上的合法w32time.dll文件。

2022年

5 月：基于网络钓鱼的侦察活动

Turla 2022 年 5 月的活动仅用于侦察目的，不涉及任何恶意代码的使用。安全研究人员发现了一个通过 HTTP 向其自己控制的服务器发出请求的文档，其目的是捕获受害者使用的 Microsoft Word 应用程序的版本和类型。该信息稍后可用于根据 Microsoft Word 版本制作特定的漏洞利用程序。

图 7. 2022 年 5 月侦察活动中使用的 MITRE ATT&CK 技术

2023年

7 月：使用 Capibar 和 Kazuar 进行攻击

乌克兰计算机紧急响应小组 (CERT-UA) 于 2023 年 7 月发布的公告显示，Turla 正在使用 Capibar 恶意软件和 Kazuar 后门对乌克兰防御资产进行间谍攻击。在这次活动中，Capibar 被用来收集情报，而 Kazuar 则进行凭证盗窃。这次攻击利用网络钓鱼攻击来针对外交和军事组织。

图 8. 2023 年 7 月 Capibar/Kazuar 攻击中使用的 MITRE ATT&CK 技术

结论

Turla 组织是一个顽固的对手，其活动历史悠久。他们的起源、战术和目标都表明他们的行动资金雄厚，操作人员技术精湛。Turla 多年来不断开发其工具和技术，并且可能会继续完善它们。

Turla 等组织构成的威胁凸显了组织和政府保持警惕的重要性，包括随时了解情况、共享情报和实施安全措施，使组织和个人能够更好地保护自己免受此类威胁行为者的侵害。

妥协指标

使用 Capibar 和 Kazuar 进行攻击 - 2023 年 7 月

SHA256
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Network

hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-plugins.php
hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-themes.php
hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-file-script.js
hXXps://atomydoc[.]kg/src/open_center/
hXXps://atomydoc[.]kg/src/open_center/?page=ccl
hXXps://atomydoc[.]kg/src/open_center/?page=fst
hXXps://atomydoc[.]kg/src/open_center/?page=snd
hXXps://atomydoc[.]kg/src/open_center/?page=trd
hXXps://aleimportadora[.]net/images/slides_logo/
hXXps://aleimportadora[.]net/images/slides_logo/?page=
hXXps://aleimportadora[.]net/images/slides_logo/fg/message
hXXps://aleimportadora[.]net/images/slides_logo/fg/music
hXXps://aleimportadora[.]net/images/slides_logo/fg/video
hXXps://aleimportadora[.]net/images/slides_logo/index.php
hXXps://octoberoctopus.co[.]za/wp-includes/sitemaps/web/
hXXps://sansaispa[.]com/wp-includes/images/gallery/
hXXps://www.pierreagencement[.]fr/wp-content/languages/index.php
hXXps://mail.aet.in[.]ua/outlook/api/logon.aspx
hXXps://mail.kzp[.]bg/outlook/api/logon.aspx
hXXps://mail.numina[.]md/owa/scripts/logon.aspx (CAPIBAR C2URL)
hXXps://mail.aet.in[.]ua/outlook/api/logoff.aspx (CAPIBAR C2URL)
hXXps://mail.arlingtonhousing[.]us/outlook/api/logoff.aspx (CAPIBAR C2URL)
hXXps://mail.kzp[.]bg/outlook/api/logoff.aspx (CAPIBAR C2URL)
hXXps://mail.lechateaudelatour[.]fr/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITCHERT/SYNC (CAPIBAR C2URL)
hXXps://mail.lebsack[.]de/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITCHERT/SYNC (CAPIBAR C2URL)

Turla（又名 PENSIVE URSA）- 2023 年 9 月

SHA1

902b27a5fd2e5f17e5340e350afa037549ce9faa
02c37ccdfccfe03560a4bf069f46e8ae3a5d2348
b627963a9bac33fa6e3de0f9469b2fa5ecdef6ae
36bba4d26ecf02623a51c6241133c4290551e27f
d117643019d665a29ce8a7b812268fb8d3e5aadb
6239b4d374539c940cffa698e0993d199918a2fc
7c1b25518dee1e30b5a6eaa1ea8e4a3780c24d0c
a4aff23b9a58b598524a71f09aa67994083a9c83
c30af6fa5df14e1ba9355b60a9214937f6f18990
ca16a95cd38707bad2dc524bb3086b3c0cb3e372

转载来源：https://www.trendmicro.com/en_us/research/23/i/examining-the-activities-of-the-turla-group.html

图片来源网络侵权可联系删除