Turla,也被称为Venomous Bear、Waterbug和Uroboros,是迄今为止最为高级的威胁组织之一,并被认为隶属于俄罗斯政府(该组织成员均说俄语)。虽然该组织被认为至少在2007年就已经成立,但直到2014年它才被卡巴斯基实验室发现。这主要是因为,该组织被证实能够利用卫星通信中固有的安全漏洞来隐藏其C&C服务器的位置和控制中心。

我们都知道,一旦C&C服务器的位置暴露,幕后的操作者就会很容易被发现。因此,Turla组织具备的这种能力使得它能够很好地隐藏自己的位置和实施间谍活动。卡巴斯基实验室在2017年进行的一项调查显示,相比于2015年,Turla组织已经将其卫星C&C注册数量增加了至少十倍。

在上周四(10月4日),卡巴斯基实验室再次为我们带来了一份新的分析报告,重点分析了Turla组织所使用的攻击工具以及不同工具所针对的不同目标,并对Turla今后的发展进行了预测。

Turla:一个极具威胁的黑客组织

自2007 年以来,Turla组织一直处于活跃状态,并制造了许多影响一时的大事件。比如,在2008年被指攻击了美国中央司令部,即Buckshot Yankee事件——通过U盘将一种名为“agent.btz”的恶意软件上传到了五角大楼的军事网络系统之中。

另一起事件发生在2016年,也就是对瑞士军工企业RUAG集团的大规模网络攻击。在这起攻击中,Turla使用了网络间谍软件Epic Turla(Turla间谍软件家族的一个分支,被称为“史上最复杂的APT间谍软件”)、木马程序以及Rootkit恶意软件的组合。

此外,被Turla攻击过的组织远不止于此,这包括乌克兰、欧盟各国政府以及各国大使馆、研究和教育组织以及制药、军工企业。

全面分析Turla所使用的攻击工具

根据卡巴斯基实验室的说法,Turla这些年来主要使用了以下几种攻击工具:

  • IcedCoffeer和KopiLuwak
  • Carbon
  • Mosquito
  • WhiteBear

至少从2015年起,Turla就已经开始通过多种方式利用Javascript、powershell、wsh,这包括恶意软件的下载和安装,以及完整后门的实现。在被VBA宏代码解密后,White Atlas框架通常会使用一个小型的Javascript脚本来执行恶意软件dropper有效载荷,然后再删除dropper以擦除痕迹。

对于释放由Turla开发的Firefox扩展后门,White Atlas框架使用了一种更加复杂和高度混淆的Javascript脚本,该脚本仍然负责写入extension.json扩展配置文件,然后再删除自己。

IcedCoffee

Turla最早使用的Javascript后门是IcedCoffee,并在此基础上逐渐演变成了功能更加全面和复杂的KopiLuwak。IcedCoffee最初是通过RTF文档释放的,随后才转为由包含恶意宏的Office文档释放。用于释放IcedCoffee的宏代码是基于在White Atlas中发现的代码修改而来的,其中一个显著的变化是添加了一个简单的网络信标(Web beacon),在执行宏时能够将基本信息传递给由Turla控制的C&C服务器,这不仅有助于分析受害者,还可以用来跟踪攻击的有效性。

IcedCoffee实质上是一个很基础的后门,它使用WMI来收集各种与系统和用户相关的信息,然后使用base64编码和RC4加密,最后通过HTTP POST传递给C&C服务器。IcedCoffee没有内置的命令功能,但是可以从C&C服务器接收javascript文件,这些文件会在内存被释放并执行,且不会在硬盘上留下任何痕迹。IcedCoffee的应用并不广泛,主要针对的是欧洲各国政府的外交官,包括大使。

KopiLuwak

在2016年11月,卡巴斯基实验室观察到了新一轮的武器化宏文档。这些宏文档释放了一个新的、高度混淆的Javascript 有效载荷,即KopiLuwak。这种新的攻击工具所针对的目标与Turla之前所针对的目标是一致的(即针对欧洲各国政府),但它的部署比IcedCoffee更具针对性。

KopiLuwak脚本通过宏代码进行解码,这与IcedCoffee非常相似,但解码脚本并不是最后一步。这个脚本会使用一个参数执行,以解码另一个Javascript脚本,而该脚本则包含了系统信息收集和传递C&C命令的功能。KopiLuwak执行了一个更加全面的系统和网络侦察收集,并且与IcedCoffee一样,除了基本的脚本之外,几乎不会在磁盘上留下任何痕迹。

与IcedCoffee不同的是,KopiLuwak包含了一组基本的命令集,包括运行任意系统命令和卸载自身的能力。在一个于2017年年中被发现的新版本中,这个命令集被进一步扩充,添加了文件下载和数据过滤功能。

KopiLuwak最近出现是在2018年年中,它在针对叙利亚和阿富汗的攻击活动中被卡巴斯基实验室观察到。在这场活动中,KopiLuwak被编码为Windows快捷方式(.lnk)文件进行交付。

Carbon

在2018年,Carbon继续被用于攻击中亚地区的政府和与外交事务相关的组织。卡巴斯基实验室表示,他们已经一个新的orchestrator(v3.8.2)和一个新的injected transport library(v4.0.8)被部署到多个系统。

自2014年以来,Carbon的攻击目标已经在多个国家之间转移。在2014年被报道的基于Epic Turla的攻击活动是一场影响数百受害者的全球性攻击活动,在受感染系统中只有一小部分升级到了Carbon框架,其他接收到的则是Snake rootkit。因此,Carbon应该是一个被用于特定目标的代码库,并且与Snake rootkit的开发和部署在同期进行。这个代码库目前仍在被继续修改,在2018年应该会有更多的变种被部署到目标上。

卡巴斯基实验室预计Carbon框架代码的修改和选择性分发会一直持续到2019年,并集中在中亚和相关的地区。因为,像这种复杂的模块需要长期的开发和投入,而相关的加载器、注入器等都是开源的,因此这个该后门和它的基础设施短期内应该不会被完全取代。

Mosquito

在2018年3月,卡巴斯基实验室收到了关于Mosquito开始使用无文件和定制的Posh-SecMod metasploit组件的报告。但是,当关于Turla开始使用metasploit的报告被公开之后,他们的策略开始发生改变。

“DllForUserFileLessInstaller”注入器模块的编译日期为2017年11月22日,从2018年1月份左右开始被Mosquito用于向内存中注入ComRAT模块。相关的开源powershell注册表加载器代码也被修改为使用3DES加密算法,而不是AES。下面是修改后的Mosquito代码以及默认的Posh-SecMod代码:

卡巴斯基实验室认为,在2018年可能会出现更多的开源或无文件组件和内存加载器。攻击工具的这种增强也表明,Turla似乎对于维持对受害者组织的当前访问更感兴趣,而不是开发出更具攻击性的技术。

WhiteBear

卡巴斯基实验室表示,他们在2017年初向其客户通报了基于WhiteBear的攻击活动,并在8个月后公开分享了该报告的相关分析。分析指出,WhiteBear与KopiLuwak共享了一些基础设施。此外,使用WhiteBear脚本编写的鱼叉式网络钓鱼电子邮件附件也也跟进了最初的WhiteAtlas脚本开发和部署工作。

不同攻击工具对应不同的攻击目标

在轰动一时的美国民主党全国委员会(DNC)黑客事件中,我们并没有看到Turla的身影(Sofacy和CozyDuke组织均被指参与),但这并不意味着它没有足够的实力。相反,Turla被发现在其他攻击活动中非常活跃,只是行事一向低调。

Turla的活动往往具有针对性。例如,Mosquito和Carbon活动主要针对的就是与外交事务相关的组织。虽然WhiteAtlas和WhiteBear活动针对了相似的组织,但其目标范围更广,这包括科学和技术中心以及与政治不相关的组织。而在2018年的KopiLuwak活动针对的是与政府相关的科学和能源研究组织,以及于阿富汗政府相关的通信组织。

从攻击目标的角度来看,KopiLuwak和WhiteBear活动的联系更为紧密,而Mosquito和Carbon活动的关系更为紧密。此外,WhiteBear和KopiLuwak在部署不常见的Javascript脚本时还共享了一些基础设施。

卡巴斯基实验室表示,从目前来看,开源的攻击性恶意软件可能会更多出现在Mosquito和Carbon活动中,而更复杂的新型恶意软件则将继续通过KopiLuwak分发,WhiteBear则可能重新被启用。

 

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。