分手不再是朋友,疑似俄間諜組織Turla攻擊東歐國家大使館
E安全1月11日訊 網路安全公司ESET近期發布長達29頁的報告指出,網路間諜組織Turla正利用新騙術瞄準東歐國家大使館和領事館的員工,誘騙目標受害者安裝惡意軟體以竊取數據。
惡意軟體看似來自官方Adobe伺服器
ESET公司在報告中指出,除了將後門與合法Flash Player安裝程序捆綁在一起之外,Turla組織使用的URL及IP地址來自Adobe的合法基礎設施,從而讓受害者誤以為自己在下載合法軟體。
據信,此次瞄準東歐國家大使館和領事館員工的攻擊者於2016年7月開始使用植入「蚊子」(Mosquito)後門的Flasher安裝程序發起攻擊,這些攻擊與Turla組織過去傳播其它惡意軟體的行徑存在諸多相似之處,且同該組織此前曾使用的IP地址存在關聯。
ESET方面指出,目前尚未發現Turla的惡意軟體真正感染任何合法Flash Player更新的跡象,亦未發現其與任何已知Adobe產品漏洞存在關係。
潛在攻擊場景,最可能發生ISP級別的攻擊
ESET研究人員們指出,潛在攻擊途徑可能包括:
一、劫持受害者組織機構網路內的設備,利用其充當中間人(簡稱MitM)攻擊的跳板。
二、攻擊者可能入侵目標網關,藉此攔截組織內網與互聯網之間的所有輸入與輸出流量。
三、流量攔截同樣可能發生在互聯網服務供應商(簡稱ISP)身上,這是FinFiher間諜軟體在監控活動中使用的一項策略。
四、攻擊者可能已利用邊界網關協議(簡稱BGP)劫持將流量重新路由至Turla控制的伺服器,不過ESET方面指出該策略可能很快觸發Adobe或BGP監控服務的警報。
研究人員指出,最有可能發生第三種攻擊場景,因為過去曾發生過ISP級的中間人攻擊。
攻擊細節
一旦用戶下載並啟動虛假的Flash安裝程序,攻擊過程由此開始。安裝程序開始會在目標設備上釋放Turla後門,它可能是「蚊子」,也可能是一款Win32惡意軟體,亦可能是與Web應用程序(託管在Google Apps Script之上的)通信的惡意JavaScript文件,或從虛假Adobe URL處下載的未知文件。
之後,攻擊者即可開始竊取敏感數據,包含受感染計算機的唯一ID、用戶名以及設備上已安裝的安全產品列表。不過在MacOS平台上,Turla的Snake後門僅能竊取用戶名與設備名稱。
偽造的安裝程序會丟棄隨後運行合法的 Flash Player 應用程序以便迷惑用戶。後者的安裝程序可能嵌入到其偽造的對象中,或者從 Google Drive 網址下載。
ESET研究人員報告稱,目前已經發現了「蚊子」後門的新樣本。據報告,新樣本利用自定義加密器進行混淆,這使得惡意軟體研究人員及安全軟體更難以分析其代碼內容。
為了在系統上持久駐留,該安裝程序還會篡改操作系統的註冊表,同時創建一個允許遠程訪問的管理帳戶。
主後門CommanderDLL使用的擴展名為.pdb,其使用自定義加密演算法,並可執行某些預定義操作。後門通知加密的日誌文件追蹤受感染設備上的所有內容。
Turla網路間諜組織
研究人員此前曾經發現,該組織的主要活動時間符合俄羅斯UTC +4時區的標準工作周期,因此其很可能身在俄羅斯境內。
Turla組織自2007年開始活躍,據認為是俄羅斯的網路間諜組織(也被稱為Waterbug, Venomous Bear與KRYPTON),一直活躍於攻擊政府機構與民間企業,2008年曾攻擊美國國防部(DOD)。
該組織擁有龐大的工具集,通常被分為幾類:Turla的間諜平台主要用來攻擊Windows設備,但也會使用各種後門和Rootkit攻擊MacOS和Linux設備,而最先進的惡意軟體僅部署在其最感興趣的設備上。
https://www.easyaq.com/news/2086622414.shtml
TAG:E安全 |