分手不再是朋友，疑似俄間諜組織Turla攻擊東歐國家大使館

E安全1月11日訊 網路安全公司ESET近期發布長達29頁的報告指出，網路間諜組織Turla正利用新騙術瞄準東歐國家大使館和領事館的員工，誘騙目標受害者安裝惡意軟體以竊取數據。

惡意軟體看似來自官方Adobe伺服器

ESET公司在報告中指出，除了將後門與合法Flash Player安裝程序捆綁在一起之外，Turla組織使用的URL及IP地址來自Adobe的合法基礎設施，從而讓受害者誤以為自己在下載合法軟體。

據信，此次瞄準東歐國家大使館和領事館員工的攻擊者於2016年7月開始使用植入「蚊子」（Mosquito）後門的Flasher安裝程序發起攻擊，這些攻擊與Turla組織過去傳播其它惡意軟體的行徑存在諸多相似之處，且同該組織此前曾使用的IP地址存在關聯。

ESET方面指出，目前尚未發現Turla的惡意軟體真正感染任何合法Flash Player更新的跡象，亦未發現其與任何已知Adobe產品漏洞存在關係。

潛在攻擊場景，最可能發生ISP級別的攻擊

ESET研究人員們指出，潛在攻擊途徑可能包括：

一、劫持受害者組織機構網路內的設備，利用其充當中間人（簡稱MitM）攻擊的跳板。

二、攻擊者可能入侵目標網關，藉此攔截組織內網與互聯網之間的所有輸入與輸出流量。

三、流量攔截同樣可能發生在互聯網服務供應商（簡稱ISP）身上，這是FinFiher間諜軟體在監控活動中使用的一項策略。

四、攻擊者可能已利用邊界網關協議（簡稱BGP）劫持將流量重新路由至Turla控制的伺服器，不過ESET方面指出該策略可能很快觸發Adobe或BGP監控服務的警報。

研究人員指出，最有可能發生第三種攻擊場景，因為過去曾發生過ISP級的中間人攻擊。

攻擊細節

一旦用戶下載並啟動虛假的Flash安裝程序，攻擊過程由此開始。安裝程序開始會在目標設備上釋放Turla後門，它可能是「蚊子」，也可能是一款Win32惡意軟體，亦可能是與Web應用程序（託管在Google Apps Script之上的）通信的惡意JavaScript文件，或從虛假Adobe URL處下載的未知文件。

之後，攻擊者即可開始竊取敏感數據，包含受感染計算機的唯一ID、用戶名以及設備上已安裝的安全產品列表。不過在MacOS平台上，Turla的Snake後門僅能竊取用戶名與設備名稱。

偽造的安裝程序會丟棄隨後運行合法的 Flash Player 應用程序以便迷惑用戶。後者的安裝程序可能嵌入到其偽造的對象中，或者從 Google Drive 網址下載。

ESET研究人員報告稱，目前已經發現了「蚊子」後門的新樣本。據報告，新樣本利用自定義加密器進行混淆，這使得惡意軟體研究人員及安全軟體更難以分析其代碼內容。

為了在系統上持久駐留，該安裝程序還會篡改操作系統的註冊表，同時創建一個允許遠程訪問的管理帳戶。

主後門CommanderDLL使用的擴展名為.pdb，其使用自定義加密演算法，並可執行某些預定義操作。後門通知加密的日誌文件追蹤受感染設備上的所有內容。

Turla網路間諜組織

研究人員此前曾經發現，該組織的主要活動時間符合俄羅斯UTC +4時區的標準工作周期，因此其很可能身在俄羅斯境內。

Turla組織自2007年開始活躍，據認為是俄羅斯的網路間諜組織（也被稱為Waterbug, Venomous Bear與KRYPTON），一直活躍於攻擊政府機構與民間企業，2008年曾攻擊美國國防部（DOD）。

該組織擁有龐大的工具集，通常被分為幾類：Turla的間諜平台主要用來攻擊Windows設備，但也會使用各種後門和Rootkit攻擊MacOS和Linux設備，而最先進的惡意軟體僅部署在其最感興趣的設備上。

https://www.easyaq.com/news/2086622414.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！