TinyTurla新的供应链攻击

思科 Talos 提供了其最近两份报告的最新信息，该报告涉及俄罗斯间谍组织 Turla 部署的TinyTurla-NG (TTNG)植入程序。我们现在掌握了该攻击者使用的整个杀伤链的新信息，包括用于从受害者那里窃取有价值信息并通过受感染企业传播的策略、技术和程序 (TTP)。

Talos 与CERT.NGO合作进行的分析表明，Turla 感染了欧洲非政府组织 (NGO) 受感染网络中的多个系统。

攻击者破坏了第一个系统，建立了持久性，并为这些端点上运行的防病毒产品添加了排除项，作为其初步的破坏后行动的一部分。

Turla 随后通过 Chisel 打开了额外的通信渠道，用于数据泄露并转向网络中其他可访问的系统。

追踪 Turla 从妥协到渗透的步骤

Talos 发现 Turla 在这次入侵中进行的妥协后活动并不限于单独部署后门。在部署 TinyTurla-NG 之前，Turla 将尝试配置防病毒软件排除项以逃避对其后门的检测。设置排除后，TTNG 将写入磁盘，并通过创建恶意服务来建立持久性。

初步的攻击后活动和 TinyTurla-NG 部署

获得初始访问权限后，Turla 首先将防病毒软件（例如 Microsoft Defender）中的排除项添加到他们将用于在受感染系统上托管植入程序的位置。

Turla 然后使用一个或多个批处理 (BAT) 文件设置 TinyTurla-NG 植入的持久性。批处理文件在系统上创建一个服务，以将 TTNG DLL 保留在系统上。

该技术与 Turla 在 2021 年为实现TinyTurla植入物的持久性而使用的技术相同。然而，我们仍然不确定为什么攻击者使用两个不同的批处理文件，但这似乎是一种不必要的复杂方法来逃避检测。

对于 TTNG，该服务是使用名称“sdm”创建的，伪装成“系统设备管理器”服务。

批处理文件内容。

恶意服务踢的创建和启动会通过 svchost[.]exe（Windows 服务容器）启动 TinyTurla-NG 植入程序的执行。TinyTurla-NG 经过进一步的检测，可以对感兴趣的目录进行额外的侦察，然后将文件复制到受感染系统上的临时暂存目录，然后渗透到 C2。 TinyTurla-NG 还用于部署来自开源攻击框架的定制 Chisel 信标。

使用定制Chisel

在部署时，Chisel 将建立一个到攻击者控制的盒子的反向代理隧道 [ T1573.002 - 加密通道：非对称加密]。我们观察到，攻击者利用与最初受感染系统的凿子连接来转向网络中的其他系统。

目标系统上存在基于 Windows 远程管理 (WinRM) 的连接表明 chisel 可能与其他工具（例如代理链和 evil-winrm）结合使用来建立远程会话。WinRM是 Microsoft 对 WS-Management 协议的实现，允许基于 Windows 的系统交换信息并使用脚本或内置实用程序进行管理。

整个感染链如下图所示。

Turla 战术、工具和程序流程。

一旦攻击者获得了对新盒子的访问权限，他们将重复其活动以创建 Microsoft Defender 排除项、删除恶意软件组件并创建持久性，这表明 Turla 遵循可以明确表达为以下网络杀伤链的剧本。

网络杀伤链。

分析源自 Chisel 的流量后发现，该工具每小时都会向其 C2 服务器发出信号。

虽然受感染的系统早在 2023 年 10 月就遭到了破坏，Chisel 也迟至 2023 年 12 月才部署，但 Turla 运营商在更晚的 2024 年 1 月 12 日才使用 Chisel 进行了大部分数据泄露 [ T1041 - 通过 C2 通道的泄露]。

IOC

哈希值

267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40
ad4d196b3d85d982343f32d52bffc6ebfeec7bf30553fa441fd7c3ae495075fc
13c017cb706ef869c061078048e550dba1613c0f2e8f2e409d97a1c0d9949346
b376a3a6bae73840e70b2fa3df99d881def9250b42b6b8b0458d0445ddfbc044 

域名

hanagram[.]jpthefinetreats[.]com
caduff-sa[.]chjeepcarlease[.]com
buy-new-car[.]com
carleasingguru[.]com

IP Addresses

IP地址

91[.]193[.]18[.]120

参考链接： https://blog.talosintelligence.com/tinyturla-full-kill-chain/

图片来源网络目标可联系删除