首页 >> 网络安全 >>系统安全 >> 发现新的 TURLA 后门
详细内容

发现新的 TURLA 后门

时间:2021-09-27        阅读

Turla 网络间谍组织已经运作了 25 年的大部分时间,并与臭名昭著的月光迷宫攻击五角大楼和其他机构有关,最近一直在部署一个以前未公开的小型后门,以针对美国的目标,德国和阿富汗。


这个后门被称为 TinyTurla,非常简单,研究人员认为它可能作为该组织的备份持久性机制,以保持对受感染机器的访问。Cisco Talos 的研究人员发现了后门,并相信它至少从去年开始就已被使用。最近,在围绕美国撤军后权力转移的动荡期间,该后门已被用于针对阿富汗的目标。Talos 发现后门正在使用一些已知的基础设施,这些基础设施过去曾在其他 Turla 操作中使用过。


“根据法医证据以及它使用了来自 Penguin Turla 恶意软件的先前归属基础设施这一事实,Talos 以适度的信心评估这被用来针对前阿富汗政府,”Talos 研究人员在对后门的新分析中写道。


Turla 也以一长串其他名字而闻名,包括 Snake 和 Uroburos,是已知的更受人尊敬和多产的 APT 团体之一,并且在过去的二十年里与许多高级别的行动有关。这些入侵中最著名的是月光迷宫行动,它涉及美国宇航局、五角大楼、能源部和其他机构在 1990 年代后期的妥协。该行动涉及盗窃军事数据、地图、技术文件,并启动了一项持续数年的大规模政府调查。研究人员并没有将月光迷宫直接归因于图拉,但结缔组织很坚固。


直到很久以后,也就是 2014 年,Turla 才被研究人员正确识别,并且其最近的操作和工具被曝光。该组织拥有广泛的攻击工具可供使用,并且众所周知在其某些操作中使用零日漏洞。Turla 是一个俄罗斯集团,它的运作通常与俄罗斯政府的政治利益和目标保持一致。该组织高度专注于间谍活动,并拥有可支配的大量财务和技术资源。


“他们使用的基础设施与其他明显归因于他们的 Penguin Turla 基础设施的攻击所使用的基础设施相同。”


研究人员知道 Turla 的许多恶意工具,但 Talos 发现的 Windows 后门之前并未记录在案。它伪装成 Windows 服务,防御者识别恶意软件并不一定容易。


“攻击者在受感染的机器上安装了后门作为服务。他们试图通过将服务命名为“Windows 时间服务”来在雷达下运行,就像现有的 Windows 服务一样。后门可以上传和执行文件或从受感染系统中窃取文件。在我们对该恶意软件的审查中,后门每五秒通过 HTTPS 加密通道联系命令和控制 (C2) 服务器,以检查是否有来自操作员的新命令,”Talos 说。


尽管 Turla 接近 APT 组的顶端,但它由人类组成,人类会变得懒惰,有时会犯错误。这些错误可以帮助研究人员跟踪他们的活动并识别他们的操作,就像 Talos 在这个案例中所做的那样。


“在他们的活动中,他们经常使用和重新使用受感染的服务器进行操作,他们通过 SSH 访问这些服务器,通常受 TOR 保护。我们将这个后门归咎于 Turla 的一个公开原因是,他们使用的基础设施与其他明显归因于企鹅 Turla 基础设施的攻击所使用的基础设施相同,”Talos 说。

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录