[[425645]]

研究人員報告說，Turla高級持續(xù)性威脅(APT)組織又回來了，他們使用了一個新的后門來感染阿富汗、德國和美國的系統(tǒng)。研究人員說，他們已經(jīng)發(fā)現(xiàn)了可能是Turla集團(又名Snake、Venomous Bear、Uroburos和WhiteBear)--一個俄羅斯籍的APT組織的攻擊行為。他們指出，這些攻擊很可能會使用一個隱蔽的second-chance后門來維持被感染的設(shè)備的訪問權(quán)限。

"second-chance "的含義是指，它很難被清除，即使被感染的機器清除了主要的惡意軟件，攻擊者也能繼續(xù)保持對系統(tǒng)的訪問。

據(jù)報道，這個被稱為TinyTurla的新型后門可以用來投放有效載荷，上傳或執(zhí)行文件。它還可以被用作第二級投放器，使用其他的惡意軟件來感染系統(tǒng)。同時，后門代碼也相當簡單，但執(zhí)行效率很高，它通常可以繞過殺毒軟件。

TinyTurla是如何進行攻擊的

研究人員表示，攻擊者會將TinyTurla偽裝成 "Windows Time Service "服務(wù)，同時用于同步運行在活動目錄域服務(wù)(AD DS)中的系統(tǒng)的日期和時間。

TinyTurla還模仿合法的Windows時間服務(wù)，能夠上傳、執(zhí)行或竊取文件。該后門通過HTTPS加密通道每五秒鐘與一個命令和控制(C2)服務(wù)器聯(lián)系，來檢查新的命令。

由于TinyTurla的功能有限且編碼簡單，反惡意軟件工具很難檢測到它是惡意軟件。這也就解釋了為什么盡管攻擊者從 2020年 就開始部署它，但是它一直沒有被發(fā)現(xiàn)。Turla在安全行業(yè)是眾所周知的，并且也受到了安全行業(yè)的密切關(guān)注。然而，他們還是使用了這個后門進行攻擊持續(xù)了兩年之久，這很清楚地表明，我們在防御方面還有很多改進的余地。

然而，網(wǎng)絡(luò)流量中的那個每五秒鐘執(zhí)行一次的情況可以被一些防御系統(tǒng)發(fā)現(xiàn)，他們指出，這是一個很好的例子，這說明了將基于網(wǎng)絡(luò)行為的檢測納入到你的安全體系中是多么的重要。

TinyTurla軟件攻擊的具體方式

攻擊者使用了一個.BAT文件，該文件將TinyTurla安裝為一個看起來很正常的微軟Windows Time服務(wù)，并且還在注冊表中設(shè)置了后門使用的配置參數(shù)。

該惡意軟件的DLL ServiceMain啟動功能除了執(zhí)行一個被稱為 "main_malware "的函數(shù)外，其他的什么都沒有做，并且該函數(shù)包括了后門代碼。他們認為這個動態(tài)鏈接庫(DLL)相當簡單，它僅由幾個函數(shù)和兩個 "while "循環(huán)組成。

研究人員指出，雖然Turla經(jīng)常使用復雜的惡意軟件，但該組織也會使用像這樣的很簡單的惡意軟件來掩人耳目。

不過，APT行為者的攻擊并不完美，在防檢測方面也犯過很多錯誤。例如，Talos已經(jīng)監(jiān)測到了許多Turla的攻擊行動，在他們的活動中，他們會經(jīng)常重復使用被攻擊的服務(wù)器進行操作，他們一般會通過SSH訪問，而且還由Tor保護。因此認為這個后門是Turla組織的一個原因是，他們使用的基礎(chǔ)設(shè)施與他們用于其他攻擊的基礎(chǔ)設(shè)施相同，這些攻擊被溯源來自于他們的Turla基礎(chǔ)設(shè)施。

誰是Turla?

根據(jù)卡巴斯基的研究，Turla APT可以追溯到2004年或更早。今年1月，該公司表示，Turla惡意軟件可能會被用于SolarWinds攻擊，因為卡巴斯基研究人員發(fā)現(xiàn)，在那一系列供應(yīng)鏈攻擊中使用的Sunburst后門與Turla的Kazuar后門的代碼存在相似性。

當時，卡巴斯基將Turla認為 "這是一個復雜的網(wǎng)絡(luò)攻擊平臺，主要集中在外交和政府相關(guān)的目標上，特別是在中東、中亞和遠東亞洲、歐洲、北美和南美以及前蘇聯(lián)集團國家。"

APT組織已經(jīng)開發(fā)了一個巨大的武器庫來使自己的攻擊性更強。除了可能與SolarWinds中使用的Sunburst后門有關(guān)，Turla還與Crutch等知名惡意軟件有關(guān)。該軟件在去年12月針對歐盟國家的間諜攻擊中使用了Dropbox。此外，還與Kazuar后門有關(guān)，Palo Alto Networks在2017年將其描述為一個具有API訪問功能的多平臺間諜后門。

研究人員指出，對俄羅斯攻擊者的監(jiān)測、技術(shù)證據(jù)的采集、以及戰(zhàn)術(shù)、技術(shù)和程序(TTPs)的研究都有助于在這個最新的案例中追溯到Turla。

用于針對阿富汗政府進行攻擊

思科的Talos首次發(fā)現(xiàn)了TinyTurla后門，當時它在塔利班政變和西方軍事力量撤出的準備階段開始針對阿富汗政府進行攻擊。

管理員通常很難核實所有的正在運行的服務(wù)都是合法的，它需要進行網(wǎng)絡(luò)監(jiān)控，提醒安全團隊注意這些感染。同時，最重要的是要有檢測運行未知服務(wù)的軟件或自動系統(tǒng)，以及一支能夠?qū)赡苁芨腥镜南到y(tǒng)進行適當取證分析的專業(yè)人員隊伍。

研究人員最后敦促各個組織采用多層次的安全架構(gòu)來檢測這類攻擊，攻擊者設(shè)法繞過一個或兩個安全措施并非不可能，但他們要繞過所有的這些措施那就難多了。

他們預計Turla攻擊活動可能會在可預見的未來繼續(xù)進行下去。

本文翻譯自：https://threatpost.com/turla-apt-backdoor-afghanistan/174858/如若轉(zhuǎn)載，請注明原文地址。