[[425451]]

與俄羅斯有關(guān)的網(wǎng)絡(luò)間諜組織Turla，再次成為新聞焦點(diǎn)，該APT組織在最近一波攻擊中采用了一個(gè)新的后門(mén)。

Turla APT組織使用新后門(mén)攻擊阿富汗、德國(guó)和美國(guó)

9月22日，security affair網(wǎng)站披露，思科Talos團(tuán)隊(duì)(Cisco Talos)研究人員發(fā)現(xiàn)，至少?gòu)?020年開(kāi)始，俄羅斯Turla APT組織使用了一個(gè)名為T(mén)inyTurla的新后門(mén)，對(duì)美國(guó)、德國(guó)和阿富汗進(jìn)行了一系列攻擊。

在塔利班接管該國(guó)政府以及美國(guó)及其盟國(guó)的所有軍隊(duì)撤出之前，威脅者攻擊了阿富汗實(shí)體，因此Talos推測(cè)，此次攻擊目標(biāo)可能是阿富汗政府。

研究人員發(fā)現(xiàn)TinyTurla能夠?qū)崿F(xiàn)多種功能，例如上傳和執(zhí)行文件和有效載荷，創(chuàng)建子進(jìn)程，以及滲出數(shù)據(jù)。攻擊者使用一個(gè).bat文件來(lái)傳遞后門(mén)，該文件以一個(gè)名為w64time.dll的服務(wù)DLL形式出現(xiàn)，但尚未發(fā)現(xiàn)TinyTurla后門(mén)是如何安裝在受害者系統(tǒng)上。

Talos研究人員在發(fā)表的分析報(bào)告中稱(chēng)，攻擊者將后門(mén)作為一項(xiàng)服務(wù)安裝在受感染的機(jī)器上，他們?cè)噲D通過(guò)將該服務(wù)命名為"Windows Time Service"，像現(xiàn)有的Windows服務(wù)一樣，在雷達(dá)下運(yùn)作。

以前未被發(fā)現(xiàn)的后門(mén)可能被用作第二次攻擊的后門(mén)，以防備主要的Turla惡意軟件被刪除。該后門(mén)允許攻擊者保持對(duì)受感染系統(tǒng)的持續(xù)訪(fǎng)問(wèn)。

Turla APT組織過(guò)往戰(zhàn)績(jī)”顯赫“

Turla APT組織(又名Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON)至少自2004年以來(lái)，一直活躍在中東、亞洲、歐洲、北美、南美以及前蘇聯(lián)集團(tuán)國(guó)家的外交和政府組織及私營(yíng)企業(yè)中。

之前被Turla APT組織攻擊的機(jī)構(gòu)名單包括五角大樓、瑞士國(guó)防公司RUAG、美國(guó)國(guó)務(wù)院、歐洲政府實(shí)體和美國(guó)中央司令部。

Talos檢測(cè)到了許多復(fù)雜的Turla操作，例如，攻擊者經(jīng)常使用和重新使用被破壞的服務(wù)器進(jìn)行操作，通過(guò)SSH訪(fǎng)問(wèn)這些服務(wù)器。

Talos稱(chēng)：將這個(gè)后門(mén)和Turla聯(lián)系在一起的依據(jù)是，他們使用的基礎(chǔ)設(shè)施與以往Turla APT組織攻擊所使用的基礎(chǔ)設(shè)施相同。

參考文章：

https://securityaffairs.co/wordpress/122437/apt/turla-apt-new-backdoor-afghanistan.html