仔细观察 Turla 高级持续威胁行为者
在网络安全领域,持续且不断变化的威胁形势不断挑战着世界各地的防御者。在无数的对手中,有一个群体因其复杂性、持久性和难以捉摸的性质而引起了极大的关注:图拉,也被称为水虫、毒熊或奥罗波若斯。
Table of Contents
起源与演变
Turla 的根源可以追溯到 2000 年代初,当时它是一个网络间谍组织,主要针对政府、军事机构、大使馆和研究组织。最初,Turla 专注于泄露敏感信息以获取战略优势。然而,随着时间的推移,其战术、技术和程序 (TTP) 不断发展,表现出对防御措施的卓越适应性和弹性。
早期行动和策略
在其初期阶段,Turla 依靠基本的恶意软件工具和社会工程策略来渗透目标网络。常见的媒介包括带有恶意附件或链接的鱼叉式网络钓鱼电子邮件、利用软件漏洞以及利用水坑攻击来破坏目标人群经常访问的合法网站。
该组织的早期恶意软件库包括远程访问木马 (RAT),例如“Agent.BTZ”和“Turla”,可以远程控制受感染的系统。这些工具促进了数据泄露、击键记录和监视活动,为未来几年更复杂的操作奠定了基础。
成熟和先进的能力
随着网络安全防御的发展,Turla 进行了调整,结合了先进的规避技术并利用零日漏洞来维持对目标网络的访问。值得注意的是,该小组开发了针对特定目标的定制工具,展示了高水平的操作复杂性和恶意软件开发方面的专业知识。
Turla 的标志技术之一是滥用合法基础设施进行命令和控制 (C2) 通信。通过劫持受信任的域、利用受感染的服务器或利用云服务,该组织掩盖了其恶意活动,使防御者难以进行归因和检测。
恶意软件库:仔细观察
Turla 运营的核心是其多样化且不断发展的恶意软件工具包。多年来,该组织部署了一系列复杂的恶意软件,每种软件都旨在实现特定目标,同时逃避防病毒解决方案和网络防御的检测。
在 Turla 高级持续威胁 (APT) 组织部署的广泛恶意软件中,一些值得注意的变体在网络安全领域留下了重要的印记。其中,“Kazuar”、“ComRAT”和“TinyTurla”是 Turla 在间谍活动中使用的强大工具。
卡祖尔:间谍活动的变色龙
卡祖尔(Kazuar)以里海的鲟鱼命名,体现了图拉的适应性和隐秘性。这种模块化远程访问工具 (RAT) 于 2017 年首次发现,可作为渗透和监视目标网络的多功能工具。 Kazuar 的优势在于其模块化设计,允许 Turla 操作员定制其功能以适应特定的任务目标。
Kazuar 的主要特点包括:
秘密操作: Kazuar 采用先进的规避技术来逃避安全解决方案的检测,从而实现在目标环境中的秘密部署。
强大的通信: Kazuar 利用 HTTP 和 HTTPS 等安全通信通道,促进受感染端点和远程操作员之间的无缝交互。
灵活的功能:从收集击键和捕获屏幕截图到收集系统元数据,Kazuar 提供了适合 Turla 运营需求的各种间谍功能。
凭借其适应不断变化的防御措施的能力和广泛的功能集,Kazuar 仍然是 Turla 武器库中的一个强大工具,对寻求检测和减轻其影响的防御者构成了巨大的挑战。
ComRAT:持续的间谍平台
ComRAT,也称为 Agent.BTZ 和 Turla 的“第二阶段”恶意软件,是 Turla 网络间谍活动的基石。 ComRAT 于 2007 年出现,经历了多次迭代,发展成为一个复杂的间谍平台,能够进行深入监视并保持对受感染网络的持续访问。
ComRAT 的主要属性包括:
高级数据收集: ComRAT 擅长从受感染的系统中收集各种敏感信息,包括文档、电子邮件和凭据。
隐蔽通信: ComRAT 采用 DNS 隧道和隐写术等技术,有助于谨慎的数据泄露,同时逃避网络监控机制的检测。
模块化架构:与 Kazuar 类似,ComRAT 采用模块化设计,使 Turla 运营商能够根据特定的运营要求定制其功能。
作为一个成熟的间谍平台,ComRAT 强调了 Turla 在追求其目标的过程中对技术创新和卓越运营的承诺。
TinyTurla:轻量级间谍代理
TinyTurla 是一种轻量级间谍代理,于 2019 年首次观察到,它代表了与 Turla 传统恶意软件策略的背离。与通常依赖于复杂和精密功能的前辈不同,TinyTurla 采用极简主义方法,专注于隐秘性和敏捷性。
TinyTurla 的主要特点包括:
紧凑的设计: TinyTurla 占用空间小,代码极简,使其难以检测和分析,从而可以在目标环境中进行秘密部署。
有针对性的监视:尽管TinyTurla很简单,但它擅长进行有针对性的监视、收集敏感信息以及促进对受感染系统的远程访问。
低资源消耗: TinyTurla 旨在在资源受限的系统上高效运行,最大限度地减少对受感染端点的影响,从而降低检测的可能性。
虽然与 Kazuar 和 ComRAT 相比功能较少,但 TinyTurla 的轻量级设计和敏捷性使其成为 Turla 间谍活动中的宝贵资产,进一步凸显了该组织面对不断发展的网络安全防御的适应性和创新能力。
TinyTurla-NG(即“下一代”)在 2023 年底针对波兰非政府组织的攻击活动中被使用。根据思科 Talos 的一份报告,TinyTurla-NG 充当小型“最后机会”后门,设计用于在其他未经授权的访问工具失败时使用或者已在受感染的系统上检测到。
Pelmeni Wrapper 是 Turla 恶意工具库中的另一个工具,具有以下功能:
- 操作日志记录:它创建一个具有随机名称和扩展名的隐藏日志文件,以谨慎监控活动活动。
- 有效负载交付:利用定制的解密方法,利用伪随机数生成器来加载和执行函数。
- 执行流重定向:操纵进程线程并引入代码注入,将执行重定向到包含中央恶意软件组件的解密.NET 程序集。
展望未来,应对 Turla 威胁需要采取多方面的方法,包括威胁情报共享、主动网络防御策略以及公共和私营部门实体之间的协作。通过了解该组织的策略、利用尖端安全技术并培养网络安全意识文化,组织可以更好地防御 Turla 和类似的高级持续威胁行为者所构成的不断变化的威胁。