Turla黑客組織將惡意軟體隱藏在反互聯網審查軟體中

卡巴斯基研究人員發現，說俄語的威脅攻擊組織Trula已經改進了他們所使用的工具集：將其著名的JavaScript Kopiluwak惡意軟體包裝在一個名為Topinambour的最新釋放器中，並且創建了兩個類似的語言版本，並通過受感染的互聯網審查軟體安裝包分發其惡意軟體。研究人員認為這些手段是為了最大限度地減小被檢測的記錄，同時精確針對目標受害者進行攻擊。Topinambour於2019年初在針對政府實體攻擊行動中被發現。

Turla是一個說俄語的高調威脅組織，其興趣是對政府和外交相關目標實施網路間諜攻擊。它以創新性和標誌性的KopiLuwak惡意軟體而聞名，最早在2016年底被發現。2019年，卡巴斯基研究人員發現該威脅組織採用了新的工具和手段來增強其隱蔽性，幫助降低被檢測到的幾率。

Topinambour（根據一種蔬菜命名，也被稱為洋姜）是一種Turla使用的最新.NET文件，被用來通過受感染的合法軟體安裝包（如繞過互聯網審查的VPN工具等）分發和釋放其JavaScript KopliLuwak。

KopiLuwak專門被設計用來進行間諜攻擊，Turla最新的感染過程包括幫助惡意軟體躲避檢測的技術。例如，命令和控制基礎設施的IP地址會模仿普通的區域網地址。不僅如此，這種惡意軟體還幾乎是完全「無文件的」——感染的最後階段，一個用於遠程管理的加密木馬，嵌入到計算機的註冊表中，以便在準備好時訪問惡意軟體。

兩個類似於KopiLuwak的木馬：.NET RocketMan木馬和PowerShell MiamiBeach木馬都是為網路間諜而設計的。研究人員認為這些版本的木馬是用來部署在那些安裝了能夠檢測出KopiLuwak的安全軟體的目標上。安裝成功後，這三個版本的木馬都能夠：

·採集目標的指紋，了解所感染的是什麼類型的計算機

·收集有關係統和網路適配器的信息

·竊取文件

·下載和執行額外的惡意軟體

·MiamiBeach還能夠截屏

「2019年，Turla再度出現並推出了改進的工具集，引入了許多新功能，其目的可能是最大限度地降低被安全解決方案和研究人員檢測到的幾率。這些新措施包括減少惡意軟體的數字足跡，創建兩個不同的但與知名的 KopiLuwak 惡意軟體相似的版本。濫用可以繞過互聯網審查的VPN軟體的安裝包表明，攻擊者明確定義了這些工具的網路間諜目標。Turla威脅組織的軍火庫的不斷進化，提醒人們需要威脅情報以及能夠攔截APT組織使用的最新工具和技術的安全軟體。例如，下載完軟體的安裝包後，使用端點保護解決方案並檢查文件的哈希值有助於防止像Topinambour這樣的威脅，」卡巴斯基首席安全研究員Kurt Baumgartner說。

為了降低成為複雜的網路間諜攻擊行動的受害者，卡巴斯基建議用戶採取以下措施：

·對員工進行安全意識培訓，向他們解釋如何識別和避免潛在有害的應用程序或文件。例如，員工不要從不受信任或未知來源下載和安裝應用和程序。

·為了實現端點級別的檢測、調查和事故及時修復，部署EDR解決方案，例如卡巴斯基端點檢測和響應。

·除了採用基本的端點保護之外，部署企業級安全解決方案，以便在早期階段檢測網路級別的高級威脅，例如卡巴斯基反針對性攻擊平台。

·為您的安全運營中心團隊提供對最新威脅情報的訪問，讓他們可以及時了解威脅組織使用的最新工具、技術和策略。

完整版報告請參閱Securelist.

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！