TurlaAPT组织使用新的后门攻击位于阿富汗、德国和美国的与俄罗斯有联系的网络间谍组织Turla。APT组织在最新一波攻击中使用了一个新的后门。TurlaAPT组织使用新后门攻击阿富汗、德国和美国。9月22日,安全事务网披露,思科Talos团队(CiscoTalos)的研究人员发现,至少从2020年开始,俄罗斯TurlaAPT组织就开始使用名为TinyTurla的程序。针对美国、德国和阿富汗的一系列攻击的新后门。在塔利班接管该国政府之前,威胁行为者袭击了阿富汗实体,所有美国和盟军撤离,导致Talos推测这次袭击可能针对阿富汗政府。研究人员发现TinyTurla具有多种功能,例如上传和执行文件和有效负载、创建子进程以及泄露数据。攻击者使用.bat文件以名为w64time.dll的服务DLL的形式传递后门程序,但尚未发现TinyTurla后门程序是如何安装在受害者系统上的。在Talos研究人员发表的分析中,攻击者将后门作为服务安装在受感染的机器上,他们试图在Operateunderlyunderly中将该服务命名为“WindowsTimeService”,就像现有的Windows服务一样。如果主要的Turla恶意软件被删除,之前未被发现的后门可能已被用作第二次攻击的后门。这个后门允许攻击者保持对受感染系统的持续访问。TurlaAPT组织有着“突出”的记录。TurlaAPT组织(又名Snake、Uroburos、Waterbug、VenomousBear和KRYPTON)至少自2004年以来一直活跃于中东、亚洲、欧洲、北美、南美以及前苏联集团国家的外交领域政府组织和私人公司。TurlaAPT组织此前针对的组织名单包括五角大楼、瑞士国防公司RUAG、美国国务院、欧洲政府实体和美国中央司令部。Talos检测到大量复杂的Turla操作,例如,攻击者经常使用和重复使用受感染的服务器进行操作,并通过SSH访问这些服务器。Talos表示:将此后门与Turla联系起来的依据是,他们使用与TurlaAPT组织在之前的攻击中使用的基础设施相同的基础设施。参考文章:https://securityaffairs.co/wordpress/122437/apt/turla-apt-new-backdoor-afghanistan.html
