卡巴斯基:深度揭露俄羅斯APT組織Turla
Turla,也被稱為Venomous Bear、Waterbug和Uroboros,是迄今為止最為高階的威脅組織之一,並被認為隸屬於俄羅斯政府(該組織成員均說俄語)。雖然該組織被認為至少在2007年就已經成立,但直到2014年它才被卡巴斯基實驗室發現。這主要是因為,該組織被證實能夠利用衛星通訊中固有的安全漏洞來隱藏其C&C伺服器的位置和控制中心。
我們都知道,一旦C&C伺服器的位置暴露,幕後的操作者就會很容易被發現。因此,Turla組織具備的這種能力使得它能夠很好地隱藏自己的位置和實施間諜活動。卡巴斯基實驗室在2017年進行的一項調查顯示,相比於2015年,Turla組織已經將其衛星C&C註冊數量增加了至少十倍。
在上週四(10月4日),卡巴斯基實驗室再次為我們帶來了一份新的分析報告,重點分析了Turla組織所使用的攻擊工具以及不同工具所針對的不同目標,並對Turla今後的發展進行了預測。
Turla:一個極具威脅的黑客組織
自2007 年以來,Turla組織一直處於活躍狀態,並製造了許多影響一時的大事件。比如,在2008年被指攻擊了美國中央司令部,即Buckshot Yankee事件——通過U盤將一種名為“agent.btz”的惡意軟體上傳到了五角大樓的軍事網路系統之中。
另一起事件發生在2016年,也就是對瑞士軍工企業RUAG集團的大規模網路攻擊。在這起攻擊中,Turla使用了網路間諜軟體Epic Turla(Turla間諜軟體家族的一個分支,被稱為“史上最複雜的APT間諜軟體”)、木馬程式以及Rootkit惡意軟體的組合。
此外,被Turla攻擊過的組織遠不止於此,這包括烏克蘭、歐盟各國政府以及各國大使館、研究和教育組織以及製藥、軍工企業。
全面分析Turla所使用的攻擊工具
根據卡巴斯基實驗室的說法,Turla這些年來主要使用了以下幾種攻擊工具:
- IcedCoffeer和KopiLuwak
- Carbon
- Mosquito
- WhiteBear
至少從2015年起,Turla就已經開始通過多種方式利用Javascript、powershell、wsh,這包括惡意軟體的下載和安裝,以及完整後門的實現。在被VBA巨集程式碼解密後,White Atlas框架通常會使用一個小型的Javascript指令碼來執行惡意軟體dropper有效載荷,然後再刪除dropper以擦除痕跡。
對於釋放由Turla開發的Firefox擴充套件後門,White Atlas框架使用了一種更加複雜和高度混淆的Javascript指令碼,該指令碼仍然負責寫入extension.json擴充套件配置檔案,然後再刪除自己。
IcedCoffee
Turla最早使用的Javascript後門是IcedCoffee,並在此基礎上逐漸演變成了功能更加全面和複雜的KopiLuwak。IcedCoffee最初是通過RTF文件釋放的,隨後才轉為由包含惡意巨集的Office文件釋放。用於釋放IcedCoffee的巨集程式碼是基於在White Atlas中發現的程式碼修改而來的,其中一個顯著的變化是添加了一個簡單的網路信標(Web beacon),在執行巨集時能夠將基本資訊傳遞給由Turla控制的C&C伺服器,這不僅有助於分析受害者,還可以用來跟蹤攻擊的有效性。
IcedCoffee實質上是一個很基礎的後門,它使用WMI來收集各種與系統和使用者相關的資訊,然後使用base64編碼和RC4加密,最後通過HTTP POST傳遞給C&C伺服器。IcedCoffee沒有內建的命令功能,但是可以從C&C伺服器接收javascript檔案,這些檔案會在記憶體被釋放並執行,且不會在硬碟上留下任何痕跡。IcedCoffee的應用並不廣泛,主要針對的是歐洲各國政府的外交官,包括大使。
KopiLuwak
在2016年11月,卡巴斯基實驗室觀察到了新一輪的武器化巨集文件。這些巨集文件釋放了一個新的、高度混淆的Javascript 有效載荷,即KopiLuwak。這種新的攻擊工具所針對的目標與Turla之前所針對的目標是一致的(即針對歐洲各國政府),但它的部署比IcedCoffee更具針對性。
KopiLuwak指令碼通過巨集程式碼進行解碼,這與IcedCoffee非常相似,但解碼指令碼並不是最後一步。這個指令碼會使用一個引數執行,以解碼另一個Javascript指令碼,而該指令碼則包含了系統資訊收集和傳遞C&C命令的功能。KopiLuwak執行了一個更加全面的系統和網路偵察收集,並且與IcedCoffee一樣,除了基本的指令碼之外,幾乎不會在磁碟上留下任何痕跡。
與IcedCoffee不同的是,KopiLuwak包含了一組基本的命令集,包括執行任意系統命令和解除安裝自身的能力。在一個於2017年年中被發現的新版本中,這個命令集被進一步擴充,添加了檔案下載和資料過濾功能。
KopiLuwak最近出現是在2018年年中,它在針對敘利亞和阿富汗的攻擊活動中被卡巴斯基實驗室觀察到。在這場活動中,KopiLuwak被編碼為Windows快捷方式(.lnk)檔案進行交付。
Carbon
在2018年,Carbon繼續被用於攻擊中亞地區的政府和與外交事務相關的組織。卡巴斯基實驗室表示,他們已經一個新的orchestrator(v3.8.2)和一個新的injected transport library(v4.0.8)被部署到多個系統。
自2014年以來,Carbon的攻擊目標已經在多個國家之間轉移。在2014年被報道的基於Epic Turla的攻擊活動是一場影響數百受害者的全球性攻擊活動,在受感染系統中只有一小部分升級到了Carbon框架,其他接收到的則是Snake rootkit。因此,Carbon應該是一個被用於特定目標的程式碼庫,並且與Snake rootkit的開發和部署在同期進行。這個程式碼庫目前仍在被繼續修改,在2018年應該會有更多的變種被部署到目標上。
卡巴斯基實驗室預計Carbon框架程式碼的修改和選擇性分發會一直持續到2019年,並集中在中亞和相關的地區。因為,像這種複雜的模組需要長期的開發和投入,而相關的載入器、注入器等都是開源的,因此這個該後門和它的基礎設施短期內應該不會被完全取代。
Mosquito
在2018年3月,卡巴斯基實驗室收到了關於Mosquito開始使用無檔案和定製的Posh-SecMod metasploit元件的報告。但是,當關於Turla開始使用metasploit的報告被公開之後,他們的策略開始發生改變。
“DllForUserFileLessInstaller”注入器模組的編譯日期為2017年11月22日,從2018年1月份左右開始被Mosquito用於向記憶體中注入ComRAT模組。相關的開源powershell登錄檔載入器程式碼也被修改為使用3DES加密演算法,而不是AES。下面是修改後的Mosquito程式碼以及預設的Posh-SecMod程式碼:
卡巴斯基實驗室認為,在2018年可能會出現更多的開源或無檔案元件和記憶體載入器。攻擊工具的這種增強也表明,Turla似乎對於維持對受害者組織的當前訪問更感興趣,而不是開發出更具攻擊性的技術。
WhiteBear
卡巴斯基實驗室表示,他們在2017年初向其客戶通報了基於WhiteBear的攻擊活動,並在8個月後公開分享了該報告的相關分析。分析指出,WhiteBear與KopiLuwak共享了一些基礎設施。此外,使用WhiteBear指令碼編寫的魚叉式網路釣魚電子郵件附件也也跟進了最初的WhiteAtlas指令碼開發和部署工作。
不同攻擊工具對應不同的攻擊目標
在轟動一時的美國民主黨全國委員會(DNC)黑客事件中,我們並沒有看到Turla的身影(Sofacy和CozyDuke組織均被指參與),但這並不意味著它沒有足夠的實力。相反,Turla被發現在其他攻擊活動中非常活躍,只是行事一向低調。
Turla的活動往往具有針對性。例如,Mosquito和Carbon活動主要針對的就是與外交事務相關的組織。雖然WhiteAtlas和WhiteBear活動針對了相似的組織,但其目標範圍更廣,這包括科學和技術中心以及與政治不相關的組織。而在2018年的KopiLuwak活動針對的是與政府相關的科學和能源研究組織,以及於阿富汗政府相關的通訊組織。
從攻擊目標的角度來看,KopiLuwak和WhiteBear活動的聯絡更為緊密,而Mosquito和Carbon活動的關係更為緊密。此外,WhiteBear和KopiLuwak在部署不常見的Javascript指令碼時還共享了一些基礎設施。
卡巴斯基實驗室表示,從目前來看,開源的攻擊性惡意軟體可能會更多出現在Mosquito和Carbon活動中,而更復雜的新型惡意軟體則將繼續通過KopiLuwak分發,WhiteBear則可能重新被啟用。
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。