惡意軟件研究人員發(fā)布了一份關于Turla后門最新變種的詳細報告，該后門利用電子郵件PDF附件發(fā)起C＆C攻擊。研究人員對俄羅斯聯系的APT Turla  在有針對性的間諜活動中使用的后門進行了新的分析。最后分析的變體可追溯到2018年4月，它實現了直接在計算機內存中執(zhí)行惡意PowerShell腳本的能力。ESET進行的新分析顯示，黑客侵犯了德國  聯邦外交部，Turla感染了幾臺計算機，并獲取幾乎整個2017年的數據。

Turla后門最早從9年前開始使用

Turla是俄羅斯網絡間諜APT集團（也稱為Waterbug，毒蛇和KRYPTON）的名稱，自2007年以來一直活躍于政府組織和私營企業(yè)。以前已知的受害者名單很長，還包括  瑞士國防公司RUAG，美國國務院和美國中央司令部。

Turla的武器庫由復雜的黑客工具和跟蹤為Turla  （Snake  和  Uroburos  rootkit），Epic Turla（Wipbot和Tavdig）和Gloog Turla的惡意軟件組成  。2016年6月，卡巴斯基的研究人員報告說，Turla APT已經開始使用rootkit），Epic Turla（Wipbot和Tavdig）和Gloog Turla。

Turla后門至少從2009年開始使用，并且多年來不斷改進。最新的樣本看起來非常復雜，實現了罕見的隱身和彈性。最后分析的變體可追溯到2018年4月，它實現了直接在計算機內存中執(zhí)行惡意PowerShell腳本的能力。ESET進行的新分析顯示，黑客侵犯了德國  聯邦外交部，Turla感染了幾臺計算機，并獲取幾乎整個2017年的數據。

這次網絡爆炸首先破壞了該國  聯邦公共行政學院的網絡，然后在2017年3月侵入了外交部網絡，德國當局在年底發(fā)現了黑客攻擊，并于2018年3月公開披露.ESET解釋說新分析中最重要的方面是發(fā)現Turla用來攻擊另外兩個歐洲國家的外國辦事處的秘密訪問渠道。

“重要的是，我們自己的調查已經確定，除了這一廣為人知的安全漏洞之外，該集團還利用同樣的后門向另外兩個歐洲國家的外國辦事處以及一個主要網絡開放一個隱蔽的接入渠道。國防承包商。這些組織是該APT小組受害者名單中最新的已知組織，至少自2008年以來一直針對政府，州官員，外交官和軍事當局。”

Turla后門CC攻擊原理

ESET分析的惡意軟件不使用經典的命令和控制服務器，而是通過電子郵件發(fā)送的PDF文件接收更新和指令。

“而不是使用傳統(tǒng)的  命令和控制  （C＆C）基礎設施，例如基于HTTP（S）的基礎設施，后門是通過電子郵件消息操作的; 更具體地說，通過電子郵件附件中的特制PDF文件�？梢灾甘臼芨腥镜臋C器執(zhí)行一系列命令。最重要的是，這些包括數據泄露，以及下載其他文件以及執(zhí)行其他程序和命令。數據泄露本身也通過PDF文件進行。“

通過生成帶有虹吸數據的PDF并通過電子郵件和消息元數據發(fā)送出來獲取信息。

“從PDF文檔中，后門能夠恢復攻擊者在日志中調用容器的行為。這是一個二進制blob，其特殊格式包含后門的加密命令，從技術上講，附件不一定是有效的PDF文檔。唯一的要求是它包含一個正確格式的容器。“

Turla后門刪除發(fā)送給攻擊者或從攻擊者收到的消息以保持隱身。

后門是一個獨立的DLL（動態(tài)鏈接庫），它與Outlook和The Bat交互！電子郵件客戶端，它通過使用COM對象劫持獲得持久性。有了這個技巧，每次Outlook加載COM對象時都可以加載惡意DLL。與其他后門不同，Turla示例顛覆了Microsoft Outlook的合法郵件應用程序編程接口（MAPI），以訪問目標郵箱并避免被檢測到。

后門在完整列表下面實現了幾個命令：

ESET專家沒有檢測到任何PDF樣本，包括后門命令，但他們能夠創(chuàng)建這樣的文檔。

可以在GitHub上找到妥協指標（IoC）和樣本的完整列表  。

原文鏈接：https://securityaffairs.co/wordpress/75589/malware/turla-backdoor-pdf.html

標簽： cc攻擊 安全 電子郵件 服務器 腳本 漏洞 網絡

版權申明：本站文章部分自網絡，如有侵權，請聯系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯系。