研究人員報告說,Turla高級持續性威脅(APT)組織又回來了,他們使用了一個新的后門來感染阿富汗、德國和美國的系統。研究人員說,他們已經發現了可能是Turla集團(又名Snake、Venomous Bear、Uroburos和WhiteBear)--一個俄羅斯籍的APT組織的攻擊行為。他們指出,這些攻擊很可能會使用一個隱蔽的second-chance后門來維持被感染的設備的訪問權限。
“second-chance ”的含義是指,它很難被清除,即使被感染的機器清除了主要的惡意軟件,攻擊者也能繼續保持對系統的訪問。
據報道,這個被稱為TinyTurla的新型后門可以用來投放有效載荷,上傳或執行文件。它還可以被用作第二級投放器,使用其他的惡意軟件來感染系統。同時,后門代碼也相當簡單,但執行效率很高,它通常可以繞過殺毒軟件。
TinyTurla是如何進行攻擊的
研究人員表示,攻擊者會將TinyTurla偽裝成 “Windows Time Service ”服務,同時用于同步運行在活動目錄域服務(AD DS)中的系統的日期和時間。
TinyTurla還模仿合法的Windows時間服務,能夠上傳、執行或竊取文件。該后門通過HTTPS加密通道每五秒鐘與一個命令和控制(C2)服務器聯系,來檢查新的命令。
由于TinyTurla的功能有限且編碼簡單,反惡意軟件工具很難檢測到它是惡意軟件。這也就解釋了為什么盡管攻擊者從 2020年 就開始部署它,但是它一直沒有被發現。Turla在安全行業是眾所周知的,并且也受到了安全行業的密切關注。然而,他們還是使用了這個后門進行攻擊持續了兩年之久,這很清楚地表明,我們在防御方面還有很多改進的余地。
然而,網絡流量中的那個每五秒鐘執行一次的情況可以被一些防御系統發現,他們指出,這是一個很好的例子,這說明了將基于網絡行為的檢測納入到你的安全體系中是多么的重要。
TinyTurla軟件攻擊的具體方式
攻擊者使用了一個。BAT文件,該文件將TinyTurla安裝為一個看起來很正常的微軟Windows Time服務,并且還在注冊表中設置了后門使用的配置參數。
該惡意軟件的DLL ServiceMain啟動功能除了執行一個被稱為 “main_malware ”的函數外,其他的什么都沒有做,并且該函數包括了后門代碼。他們認為這個動態鏈接庫(DLL)相當簡單,它僅由幾個函數和兩個 “while ”循環組成。
研究人員指出,雖然Turla經常使用復雜的惡意軟件,但該組織也會使用像這樣的很簡單的惡意軟件來掩人耳目。
不過,APT行為者的攻擊并不完美,在防檢測方面也犯過很多錯誤。例如,Talos已經監測到了許多Turla的攻擊行動,在他們的活動中,他們會經常重復使用被攻擊的服務器進行操作,他們一般會通過SSH訪問,而且還由Tor保護。因此認為這個后門是Turla組織的一個原因是,他們使用的基礎設施與他們用于其他攻擊的基礎設施相同,這些攻擊被溯源來自于他們的Turla基礎設施。
誰是Turla?
根據卡巴斯基的研究,Turla APT可以追溯到2004年或更早。今年1月,該公司表示,Turla惡意軟件可能會被用于SolarWinds攻擊,因為卡巴斯基研究人員發現,在那一系列供應鏈攻擊中使用的Sunburst后門與Turla的Kazuar后門的代碼存在相似性。
當時,卡巴斯基將Turla認為 “這是一個復雜的網絡攻擊平臺,主要集中在外交和政府相關的目標上,特別是在中東、中亞和遠東亞洲、歐洲、北美和南美以及前蘇聯集團國家。”
APT組織已經開發了一個巨大的武器庫來使自己的攻擊性更強。除了可能與SolarWinds中使用的Sunburst后門有關,Turla還與Crutch等知名惡意軟件有關。該軟件在去年12月針對歐盟國家的間諜攻擊中使用了Dropbox。此外,還與Kazuar后門有關,Palo Alto Networks在2017年將其描述為一個具有API訪問功能的多平臺間諜后門。
研究人員指出,對俄羅斯攻擊者的監測、技術證據的采集、以及戰術、技術和程序(TTPs)的研究都有助于在這個最新的案例中追溯到Turla。
用于針對阿富汗政府進行攻擊
思科的Talos首次發現了TinyTurla后門,當時它在塔利班政變和西方軍事力量撤出的準備階段開始針對阿富汗政府進行攻擊。
管理員通常很難核實所有的正在運行的服務都是合法的,它需要進行網絡監控,提醒安全團隊注意這些感染。同時,最重要的是要有檢測運行未知服務的軟件或自動系統,以及一支能夠對可能受感染的系統進行適當取證分析的專業人員隊伍。
研究人員最后敦促各個組織采用多層次的安全架構來檢測這類攻擊,攻擊者設法繞過一個或兩個安全措施并非不可能,但他們要繞過所有的這些措施那就難多了。
他們預計Turla攻擊活動可能會在可預見的未來繼續進行下去。
