仔細觀察 Turla 高級持續威脅行為者

在網路安全領域，持續且不斷變化的威脅情勢不斷挑戰著世界各地的防禦者。在無數的對手中，有一個群體因其複雜性、持久性和難以捉摸的性質而引起了極大的關注：圖拉，也被稱為水蟲、毒熊或奧羅波若斯。

起源與演變

Turla 的根源可以追溯到 2000 年代初，當時它是一個網路間諜組織，主要針對政府、軍事機構、大使館和研究組織。最初，Turla 專注於洩露敏感資訊以獲取策略優勢。然而，隨著時間的推移，其戰術、技術和程序 (TTP) 不斷發展，表現出對防禦措施的卓越適應性和彈性。

早期行動和策略

在其初期階段，Turla 依靠基本的惡意軟體工具和社會工程策略來滲透目標網路。常見的媒介包括帶有惡意附件或連結的魚叉式網路釣魚電子郵件、利用軟體漏洞以及利用水坑攻擊來破壞目標人群經常訪問的合法網站。

該組織的早期惡意軟體庫包括遠端存取木馬 (RAT)，例如“Agent.BTZ”和“Turla”，可遠端控制受感染的系統。這些工具促進了資料外洩、擊鍵記錄和監視活動，為未來幾年更複雜的操作奠定了基礎。

成熟和先進的能力

隨著網路安全防禦的發展，Turla 進行了調整，結合了先進的規避技術並利用零日漏洞來維持對目標網路的存取。值得注意的是，該小組開發了針對特定目標的客製化工具，展示了高水準的操作複雜性和惡意軟體開發的專業知識。

Turla 的標誌技術之一是濫用合法基礎設施進行命令和控制 (C2) 通訊。透過劫持受信任的網域、利用受感染的伺服器或利用雲端服務，該組織掩蓋了其惡意活動，使防御者難以進行歸因和檢測。

惡意軟體庫：仔細觀察

Turla 營運的核心是其多樣化且不斷發展的惡意軟體工具包。多年來，該組織部署了一系列複雜的惡意軟體，每種軟體都旨在實現特定目標，同時逃避防毒解決方案和網路防禦的偵測。

在 Turla 進階持續性威脅 (APT) 組織部署的廣泛惡意軟體中，一些值得注意的變體在網路安全領域留下了重要的印記。其中，「Kazuar」、「ComRAT」和「TinyTurla」是 Turla 在間諜活動中使用的強大工具。

卡祖爾：間諜活動的變色龍

卡祖爾（Kazuar）以里海的鱘魚命名，體現了圖拉的適應性和隱密性。這種模組化遠端存取工具 (RAT) 於 2017 年首次發現，可作為滲透和監視目標網路的多功能工具。 Kazuar 的優勢在於其模組化設計，讓 Turla 操作員可自訂其功能以適應特定的任務目標。

Kazuar 的主要特點包括：

秘密操作： Kazuar 採用先進的規避技術來逃避安全解決方案的偵測，從而實現在目標環境中的秘密部署。
強大的通訊： Kazuar 利用 HTTP 和 HTTPS 等安全通訊通道，促進受感染端點和遠端操作員之間的無縫互動。
靈活的功能：從收集按鍵和擷取螢幕截圖到收集系統元數據，Kazuar 提供了適合 Turla 營運需求的各種間諜功能。
憑藉其適應不斷變化的防禦措施的能力和廣泛的功能集，Kazuar 仍然是 Turla 武器庫中的一個強大工具，對尋求檢測和減輕其影響的防御者構成了巨大的挑戰。

ComRAT：持續的間諜平台

ComRAT，也稱為 Agent.BTZ 和 Turla 的「第二階段」惡意軟體，是 Turla 網路間諜活動的基石。 ComRAT 於 2007 年出現，經歷了多次迭代，發展成為一個複雜的間諜平台，能夠進行深入監視並保持對受感染網路的持續訪問。

ComRAT 的主要屬性包括：

進階資料收集： ComRAT 擅長從受感染的系統中收集各種敏感資訊，包括文件、電子郵件和憑證。
隱蔽通訊： ComRAT 採用 DNS 隧道和隱寫術等技術，有助於謹慎的資料洩露，同時逃避網路監控機制的偵測。
模組化架構：與 Kazuar 類似，ComRAT 採用模組化設計，使 Turla 營運商能夠根據特定的營運要求客製化其功能。
作為一個成熟的間諜平台，ComRAT 強調了 Turla 在追求其目標的過程中對技術創新和卓越營運的承諾。

TinyTurla：輕量級間諜代理

TinyTurla 是一種輕量級間諜代理，於 2019 年首次觀察到，它代表了與 Turla 傳統惡意軟體策略的背離。與通常依賴複雜和精密功能的前輩不同，TinyTurla 採用極簡主義方法，專注於隱密性和敏捷性。

TinyTurla 的主要特點包括：

緊湊的設計： TinyTurla 佔用空間小，程式碼極簡，使其難以檢測和分析，從而可以在目標環境中進行秘密部署。
有針對性的監視：儘管TinyTurla很簡單，但它擅長進行有針對性的監視、收集敏感資訊以及促進對受感染系統的遠端存取。
低資源消耗： TinyTurla 旨在在資源受限的系統上有效地運行，最大限度地減少對受感染端點的影響，從而降低檢測的可能性。
雖然與Kazuar 和ComRAT 相比功能較少，但TinyTurla 的輕量級設計和敏捷性使其成為Turla 間諜活動中的寶貴資產，進一步凸顯了該組織面對不斷發展的網路安全防禦的適應性和創新能力。

TinyTurla-NG（即「下一代」）在2023 年底針對波蘭非政府組織的攻擊活動中被使用。根據思科Talos 的一份報告，TinyTurla-NG 充當小型「最後機會」後門，設計用於在其他未經授權的存取工具失敗時使用或已在受感染的系統上偵測到。

Pelmeni Wrapper 是 Turla 惡意工具庫中的另一個工具，具有以下功能：

• 操作日誌記錄：它會建立一個具有隨機名稱和擴展名的隱藏日誌文件，以謹慎監控活動活動。
• 有效負載交付：利用客製化的解密方法，利用偽隨機數產生器來載入和執行函數。
• 執行流程重定向：操縱進程執行緒並引入程式碼注入，將執行重定向到包含中央惡意軟體元件的解密.NET 組件。

展望未來，應對 Turla 威脅需要採取多方面的方法，包括威脅情報共享、主動網路防禦策略以及公共和私營部門實體之間的協作。透過了解組織的策略、利用尖端安全技術並培養網路安全意識文化，組織可以更好地防禦 Turla 和類似的高階持續威脅行為者所構成的不斷變化的威脅。