最新的Turla後門利用電子郵件PDF附件作為C＆C機制

來自ESET的惡意軟體研究人員發布了一份關於Turla後門最新變種的詳細報告，該後門利用電子郵件PDF附件作為C＆C。

來自ESET的惡意軟體研究人員對與俄羅斯相關的APT Turla在有針對性的間諜活動中使用的後門進行了新的分析。

新分析揭示了一系列以前不為人知的知名受害者。

Turla是俄羅斯網路間諜APT集團（也稱為Waterbug，毒蛇和KRYPTON）的名稱，自2007年以來一直活躍於政府組織和私營企業之中。

以前已知的受害者名單很長，其中還包括瑞士國防公司RUAG，美國國務院和美國中央司令部。

Turla的武器庫由複雜的黑客工具和Turla（Snake和Uroburos rootkit），Epic Turla（Wipbot和Tavdig）和Gloog Turla的之類的惡意軟體組成。

2016年6月，卡巴斯基的研究人員報告說，Turla APT已經開始使用rootkit，Epic Turla（Wipbot和Tavdig）和Gloog Turla。

ESET進行的新分析顯示，黑客侵犯了德國聯邦外交部，Turla感染了幾台計算機，並使用後門竊取了幾乎整個2017年的數據。

這些網路破壞首先破壞了該國聯邦公共行政學院的網路，然後在2017年3月侵入了外交部網路，德國當局在年底發現了黑客並在2018年3月公開披露.ESET解釋說新分析中最重要的方面是發現了Turla用來攻擊另外兩個歐洲國家外交部的秘密訪問渠道。

「重要的是，我們自己的調查已經確定，除了這一廣為人知的安全漏洞之外，該集團還利用同樣的後門打開了秘密訪問另外兩個歐洲國家外交部以及國防承包商網路的通道。」ESET發布的分析稱。

「這些組織是最新發現的被該APT小組攻擊的組織，至少自2008年以來該組織一直針對政府，州官員，外交官和軍事當局。」

Turla後門最晚從2009年開始使用，並且多年來不斷改進。最新的樣本看起來非常複雜，具有罕見的隱身性和彈性。最後分析的變體可追溯到2018年4月，它實現了直接在計算機內存中執行惡意PowerShell腳本的能力。

ESET分析的惡意軟體不使用常見的的命令和控制伺服器，而是通過電子郵件發送的PDF文件接收更新和指令。

「不使用傳統的像基於HTTP（S）之類的C＆C基礎設施，後門是通過電子郵件消息進行操作的;更具體地說，通過電子郵件附件中的特製PDF文件。」

「受感染的機器可以被用來執行一系列命令。最重要的是，這其中包括數據泄露，以及下載其他文件以及執行其他程序和命令。數據泄露本身也通過PDF文件進行。」

通過生成帶有虹吸數據的PDF並通過電子郵件和消息元數據發送出來來獲取信息。

「從PDF文檔中，後門能夠恢復攻擊者在日誌中調用容器的行為。這是一個二進位blob，其特殊格式包含後門的加密命令。」

「從技術上講，附件不一定是有效的PDF文檔。唯一的要求是它包含一個正確格式的容器。」

Turla後門會自動刪除發送給攻擊者或從攻擊者收到的消息以保持隱身。

後門是一個獨立的DLL（動態鏈接庫），它與Outlook和The Bat！交互電子郵件客戶端，它通過使用COM對象劫持獲得持久性。有了這個技巧，每次Outlook載入COM對象時都可以載入惡意DLL。

與其他後門不同，Turla示例顛覆了Microsoft Outlook的合法郵件應用程序編程介面（MAPI），以訪問目標郵箱並不被檢測到。

後門實現了以下幾個命令：

ESET專家沒有檢測到任何PDF樣本，包括後門命令，但他們能夠創建這樣的文檔。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！