研究人员报告说,Turla高级持续威胁(APT)组织卷土重来,使用新后门感染阿富汗、德国和美国的系统。研究人员表示,他们发现了可能是TurlaGroup(又名Snake、VenomousBear、Uroburos和WhiteBear)的组织,这是一个总部位于俄罗斯的APT组织。他们指出,攻击可能会使用隐蔽的二次机会后门来保持对受感染设备的访问。“第二次机会”的含义是,它是如此难以删除,以至于攻击者可以继续保持对系统的访问,即使在被感染的机器上清除了主要恶意软件之后也是如此。据报道,这个新的后门被称为TinyTurla,可用于丢弃有效载荷以及上传或执行文件。它还可以用作二级滴管,用其他恶意软件感染系统。同时,后门代码十分简单,但执行效率高,通常可以绕过杀毒软件。研究人员表示,攻击者会将TinyTurla伪装成“Windows时间服务”服务,同时使用它来同步在ActiveDirectory域服务(ADDS)中运行的系统的日期和时间。TinyTurla还模仿合法的Windows时间服务,能够上传、执行或窃取文件。后门通过HTTPS加密通道每五秒联系命令和控制(C2)服务器以检查新命令。由于TinyTurla的功能有限且编码简单,反恶意软件工具很难将其检测为恶意软件。这也解释了为什么自2020年以来攻击者一直在部署它,但它仍然未被发现。Turla在安全行业众所周知,也受到安全行业的密切关注。但是,这个后门他们用了两年的事实,清楚地表明我们的防御还有很大的提升空间。然而,他们指出,网络流量中每五秒执行一次的攻击可以被一些防御系统发现,这是一个很好的例子,说明如何将基于行为的检测纳入您的安全堆栈。多么重要。TinyTurla软件攻击的具体方法攻击者使用了.BAT文件,将TinyTurla安装为一个看似正常的MicrosoftWindowsTime服务,并在注册表中设置后门使用的配置参数。恶意软件的DLLServiceMain启动函数除了执行名为“main_malware”的函数外什么都不做,该函数包含后门代码。他们认为这个动态链接库(DLL)相当简单,仅由几个函数和两个“while”循环组成。研究人员指出,虽然Turla经常使用复杂的恶意软件,但该组织也使用像这样的简单恶意软件来欺骗人们。然而,APT攻击者的攻击并不完美,并且在防止检测方面犯了很多错误。例如,Talos观察到了许多Turla活动。在他们的活动中,他们经常重复使用受攻击的服务器进行操作。它们通常通过SSH访问并受Tor保护。因此,相信这个后门是Turla组织的一个原因是,他们使用的基础设施与他们用于其他可追溯到其Turla基础设施的攻击所使用的基础设施相同。图拉是谁?根据卡巴斯基的研究,TurlaAPT可以追溯到2004年或更早。今年1月,该公司表示,在卡巴斯基研究人员发现该系列供应链攻击中使用的Sunburst后门与Turla的Kazuar后门在代码上存在相似之处后,Turla恶意软件可能被用于SolarWinds攻击。当时,卡巴斯基将Turla描述为“一个复杂的网络攻击平台,专注于外交和政府相关目标,特别是在中东、中亚和远东、欧洲、北美和南美以及前苏联集团国家。”APT团体已经开发了一个庞大的武器库,使自己更具侵略性。除了可能与SolarWinds中使用的Sunburst后门有关外,Turla还与Crutch等知名恶意软件有关。去年12月,该软件在针对欧盟国家的间谍攻击中使用了Dropbox。此外,它还与Kazuar后门有关,PaloAltoNetworks在2017年将其描述为具有API访问权限的多平台间谍后门。研究人员指出,对俄罗斯攻击者的监控、技术证据的收集以及策略、技术和程序(TTP)的研究都有助于追踪Turla在这个最新案例中的踪迹。用于瞄准阿富汗政府思科的Talos在塔利班政变和西方军队撤军前夕开始瞄准阿富汗政府时首次发现了TinyTurla后门。管理员通常很难验证所有正在运行的服务是否合法,并且需要网络监控来提醒安全团队注意这些感染。同时,检测运行未知服务的软件或自动化系统,以及能够对可能受感染的系统进行适当取证分析的专业人员团队至关重要。研究人员最后敦促组织采用多层安全架构来检测此类攻击。攻击者设法绕过一两个安全措施并非不可能,但绕过所有这些措施要困难得多。他们希望Turla运动在可预见的未来继续下去。本文翻译自:https://threatpost.com/turla-apt-backdoor-afghanistan/174858/如有转载请注明原文地址。
