ESET：間諜軟體Turla正偽裝成Flash Player安插後門程序竊取敏感信息

「用指尖改變世界」

間諜軟體是惡意程序的一種，能夠在受害者不知情的情況下，在其計算機上安裝後門並收集個人信息或其他敏感信息。

Turla被認為是史上最複雜的APT(高級持續性威脅)間諜軟體，由BAE的安全研究人員首次發現。研究人員認為它由是由俄羅斯網路專家開發的，並且很可能屬於莫斯科政府網路武器計劃的一部分。

ESET的研究人員最近發現，Turla目前仍處於活躍狀態，並且經過了新技術的升級改造，正在用於針對後蘇聯各國使領館的新活動。

Turla目前被發現正使用社交工程來誘騙不知情的目標人員執行虛假的Adobe Flash Player安裝程序，旨在竊取敏感信息。

雖然，在之前的活動中，Turla也採用了偽裝成Flash Player的攻擊方式。但根據ESET的介紹，Turla背後的團隊不僅將其後門與合法的Flash Player安裝程序捆綁在一起，而且進一步複合，確保它使用的URL和IP地址似乎與Adobe的合法基礎結構相對應。如此做法，可以使得受害者更容易相信軟體來自Adobe官方，而不會懷疑其是惡意程序。

ESET的研究人員已經提出了幾個假設(如下圖所示)，展示了Turla是如何通過新方法將後門程序安裝到受害者的計算機上的。

研究人員考慮到的攻擊媒介可能包括：

受害者組織網路內的一台設備可能被劫持，因此它成為了中間人(MitM)攻擊的跳板。這將實際上涉及將目標設備的流量重定向到本地網路上的受感染設備;

攻擊者還可能危及組織的網關，使其能夠攔截該組織的內網和互聯網之間的所有傳入和傳出流量;

通信攔截也可能發生在互聯網服務提供商(ISP)的層面上，這一策略(最近ESET針對部署FinFisher間諜軟體的監視活動的研究就證明了這一點)並不是前所未聞的。所有已知的受害者都位於不同的國家，研究人員使用至少四個不同的ISP來識別他們。

攻擊者可能使用邊界網關協議(BGP)劫持重新路由流量到Turla控制的伺服器，雖然這種策略可能會相當迅速地觸發與Adobe或BGP監控服務相關的警報。

一旦虛假Flash Player安裝程序被下載並執行，幾個後門程序中的一個將會被安裝。它可能是Mosquito，一種Win32惡意軟體。惡意JavaScript文件與Google Apps腳本上託管的Web應用程序通信，或者是從偽造的和不存在的Adobe URL下載的未知文件。

後門程序將會竊取受害者的敏感信息，這包括受感染計算機的唯一ID、用戶名以及安裝在設備上的安全產品列表。

在這個過程的最後一部分，虛假Flash Player應用程序將會自行卸載，然後運行合法的Flash Player應用程序。後者的安裝程序要麼嵌入在其偽造的對象中，要麼從Google Drive下載。

此外，ESET的研究人員表示，已經在實際攻擊活動中發現了後門程序Mosquito的新變種樣本。它使用了新的反調試、反模擬(anti-emulation，anti-VM)技術和代碼混淆技術，使得惡意軟體研究人員和安全軟體的代碼分析變得更困難。

為了在系統上建立持久性，安裝程序還會篡改操作系統的註冊表，並創建一個允許遠程訪問的管理帳戶。

主後門CommanderDLL有.pdb擴展名。它使用自定義的加密演算法，並可以執行某些預定義的操作，通過加密的日誌文件跟蹤受感染設備上的所有內容。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！