新聞資訊
行業資訊
俄羅斯APT組織 Turla 在攻擊目標系統上部署新型后門程序
2021-09-29 18:01:02
摘要:思科網絡安全團隊 Talos 稱,俄羅斯國家資助的APT高級持續威脅組織Turla是此前無記錄的入侵美國和德國等一系列新入侵事件的幕后黑手,該APT組織創造了惡意軟件 TinyTurla,這個惡意軟件編碼風格精簡高效,使得它很難被檢測發現。

思科網絡安全團隊 Talos 稱,俄羅斯國家資助的APT高級持續威脅組織Turla是此前無記錄的入侵美國和德國等一系列新入侵事件的幕后黑手,該APT組織創造了惡意軟件 TinyTurla,這個惡意軟件編碼風格精簡高效,使得它很難被檢測發現。

根據網絡安全行業門戶極牛網JIKENB.COM的梳理,這個精簡的后門很可能作為第二次入侵的后門,即使主惡意軟件被刪除,也能保持對系統的訪問,它還可以用作第二階段的釋放器,用其他惡意軟件感染系統。此外,TinyTurla 可以上傳和執行文件或將敏感數據從受感染的機器傳輸到遠程服務器,同時每五秒輪詢請求一次C2服務器以獲取最新的命令。

該APT組織Turla以其針對跨越美國、歐洲和東歐國家的政府實體和大使館的網絡攻勢而聞名。TinyTurla 活動涉及使用 .BAT 文件來部署惡意軟件,但確切的入侵途徑尚不清楚。

這個偽裝成微軟 Windows 時間服務(w32time.dll)的新型后門程序,通過精心的設計讓自己不被發現且和C2控制服務器保持通信,持續接收進一步的指令,包括下載并執行任意進程將命令的結果上傳回服務器。

TinyTurla 與 Turla 的鏈接來自于作案手法的重疊,此前該手法已被確定為該組織過去在其他活動中使用的相同基礎設施。但這些攻擊也與該機構的歷史秘密活動形成鮮明對比,其中包括受損的 Web 服務器和劫持其 C2 基礎設施的衛星連接,更不用說像Crutch和Kazuar這樣的規避惡意軟件。

研究人員指出,這是一個很好的例子,說明在當今的系統中,惡意服務是多么容易被忽視,這些系統始終被后臺運行的無數合法服務所籠罩。


USA-IDC為您提供免備案服務器 0元試用
立即聯系在線客服,即可申請免費產品試用服務
立即申請