俄羅斯APT組織——Turla新面孔

Turla，也叫Waterbug、KRYPTON或Venomous Bear，是隸屬俄羅斯的APT組織。

2018年Turla在攻擊活動中主要使用KopiLuwak JS後門，KopiLuwak是Carbon框架和meterpreter傳播技術的的變種。下面分析Turla發展過程中使用的惡意軟體：

·KopiLuwak和IcedCoffeer

·Carbon

·Mosquito

·WhiteBear

技術分析

Turla使用腳本

從2015年起，Turla就開始以各種方式使用JS、Powershell、wsh，包括應用到惡意軟體dropper或安裝過程中，也包括應用到完整的後門中。White Atlas框架在用VBA宏代碼解密惡意軟體dropper payload後，會用JS腳本來執行payload，最後刪除dropper。釋放Firefox擴展後門的White Atlas樣本使用的是更加複雜和高度混淆的JS腳本，該腳本同樣負責寫入extension.json擴展配置文件，最後刪除自己。

IcedCoffee

Turla最早使用的JS後門就是IcedCoffee後門，然後慢慢發展成功能更加複雜的KopiLuwak後門。IcedCoffee最初由一個RTF文檔釋放，然後由啟用宏的office文檔釋放。用於釋放IcedCoffee的宏代碼是基於White Atlas發現的代碼修改的。宏代碼中一個顯著的變化是加入了中繼基本信息到Turla控制的伺服器的簡單的web beacon，而beacon只用於追蹤攻擊的有效性。

IcedCoffee用WMI來收集系統和用戶的信息，然後base64編碼和RC4加密，最後通過HTTP POST發回給C2伺服器。IcedCoffee並沒有內置的命令，但是可以從C2伺服器接收JS文件，接收的JS文件會在內存中解混淆和執行，並不會在硬碟上留下什麼痕迹。IcedCoffee的應用並不廣泛，主要攻擊對象是歐洲政府的外交官。

KopiLuwak

2016年11月，Kaspersky實驗室發現了新一輪的武器化的宏文檔，會釋放高度混淆的JS payload——KopiLuwak。這款新惡意軟體的攻擊目標與Turla早期的工具活動目標都是歐洲政府，但其比IcedCoffee的應用更少。

KopiLuwak腳本的解碼形式與IcedCoffee中的非常相似，但解碼的腳本並不是最後一步。解碼的腳本會以用作RC4 key的參數執行，key會解密另一層JS腳本，腳本含有收集的信息信息和代表運行功能的C2指令。KopiLuwak會執行更加綜合和複雜的系統和網路偵查，與IcedCoffee一樣，也不會在硬碟上留下什麼痕迹。

與IcedCoffee不同的是，KopiLuwak含有一個基本命令功能集，包含運行任意系統命令和卸載自己的能力。2017年，研究人員發現一個新版本的KopiLuwak，其中的命令功能集得到了擴充，加入了文件下載和數據竊取功能。2018年中，KopiLuwak作為新的傳播向量出現在敘利亞和阿富汗的攻擊活動中。這裡，KopiLuwak後門被編碼為.lnk文件傳播。用於解碼和釋放payload的powershell代碼與一個月前Zebrocy威脅單元使用的幾乎完全相同。

Carbon

Carbon繼續被用於攻擊中亞地區的政府和與外交相關的機構。Carbon的攻擊活動可以追溯到2014年。2014年的Epic Turla攻擊活動是一起影響數百受害者的全球性攻擊活動。受害者系統中只有一小部分升級到了Carbon框架，另一部分接收到Snake rootkit用於駐留。因此，Carbon是需要很長歷史和選擇性分發的負責的代碼庫，恰好與snake rootkit的開發和應用同時進行。今年，該代碼庫被修改後與其他的變種一起應用到最新的攻擊活動中。

研究人員預測Carbon框架代碼的修改和選擇性分發的性質會使其在2019年攻擊中亞和相關的地區。因為這種複雜的模塊需要長期的開發和投入，而相關的載入器、注入器等都是開源的，因此該後門和基礎設施短期應該不會被取代。

Mosquito

Mosquito改變分發技術

2018年3月，研究人員發現關於Mosquito開始使用無文件和定製的Posh-SecMod metasploit組件的報告。當該組織的metasploit使用被公開後，他們的技術也在改變。

DllForUserFileLessInstaller注入器模塊的編譯日期為2017年11月22日，從2018年1月開始，被Mosquito用於向內存中注入ComRAT模塊。與wow64相比，這只是一小部分metasploit注入器代碼。相關的開源powershell註冊表載入器代碼也被修改來使用3DES而避免使用AES。下面是修改後的Mosquito代碼：

下面是獲取的默認Posh-SecMod代碼：

研究人員認為2018年Mosquito會出現更多的開源或無文件的組件或內存載入器。惡意軟體功能的增強也說明攻擊者更希望維持對受害者組織的當前訪問，而不是開發出更具攻擊性的技術。

Mosquito

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！