新闻快讯
< >

Gazer:全球领事馆和大使馆正被俄罗斯APT组织Turla监视

E安全9月1日讯 全球知名安全软件公司ESET 8月30日发布研究报告,指出俄罗斯臭名昭著的网络间谍组织Turla使用隐秘后门“Gazer”监控全球的领事馆和大使馆。

全球领事馆和大使馆正在被俄罗斯APT组织Turla监视-E安全

Gazer的成功之处在于使用先进的方法监控预期目标,能长期潜伏在被感染的设备中,施展隐藏术设法长期窃取数据。

ESET的研究人员发现,Gazer设法感染全球大量电脑,多数受害者位于欧洲。ESET查看攻击分子利用Gazer发起的不同间谍活动之后发现,Gazer的主要目标似乎是东南欧及前苏联国家。

Turla组织

Turla组织过去的攻击活动分两个阶段,其特点如下:

  • 目标机构为大使馆和政府部门。

  • 传送第一阶段的后门,例如Skipper。

  • 部署第二个隐藏后门,例如Gazer、Carbon和Kazuar。

  • 第二阶段的后门将被黑合法网站作为代理通过控制与命令服务器(C&C服务器)接收攻击分子的加密指令。

Gazer与其它Turla工具的异同

Gazer用C++编写,与Turla APT家族的其它恶意软件具有相似之处。事实上,Gazer、Carbon和Kazuar都可以从C&C服务器接收加密任务,通过被感染设备或网络中的另一台设备执行任务。这三款恶意软件均使用加密容器存储组件,此外还会将行动记录在文件中。

全球领事馆和大使馆正在被俄罗斯APT组织Turla监视-E安全

C&C服务器列表经过加密处理,并嵌入Gazer PE资源,这些资源均是充当第一层代理的被黑合法网站,这些网站大多数使用WordPress内容管理系统(CMS)。这也是Turla APT组织惯用的战术。

此外,嵌入Gazer样本的其中一个C&C服务器曾用于Jscript后门“Kopiluak”。

Gazer更具隐蔽性

Gazer、Carbon和Kazuar具有类似的进程列表,可作为目标注入模块,与嵌入二进制文件的C&C 服务器通信。样本不同,包含该列表的资源也会有所变化,开发人员可能会为系统中安装的程序定制,例如,有些样本上的进程名称为“safari.exe”。

相比较而言,Gazer更善于躲避检测,修改了代码中的字符串,并安全清除文件。

ESET研究团队在Gazer恶意软件样本中发现,攻击分子修改了大多数字符串,在代码中插入与视频游戏文件相关的语句。

自定义加密

Gazer的开发人员广泛使用加密,他们不会使用Windows Crypto API,似乎也不会使用任何公共库,使用,Gazer开发人员使用自己的3DES和RSA库。

全球领事馆和大使馆正在被俄罗斯APT组织Turla监视-E安全

Gazer的组件结构如下:

全球领事馆和大使馆正在被俄罗斯APT组织Turla监视-E安全

专家建议,所有组织机构,无论政府、外交、执法机构或传统企业需严肃对待当今复杂的威胁,并采取分层防御降低入侵风险。

相关阅读:

俄罗斯计划在金砖峰会及联合国大会推动国际网络安全标准

英GCHQ前负责人:俄罗斯已经造成“网络空间混乱” 应打击其网络行为

美媒:俄罗斯间谍利用社交媒体诱惑美国士兵获取情报
牛津大学:俄罗斯社交媒体“机器人”操纵全球政治局势

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。