新闻快讯
< >

分手不再是朋友,疑似俄间谍组织Turla攻击东欧国家大使馆

E安全1月11日讯 网络安全公司ESET近期发布长达29页的报告指出,网络间谍组织Turla正利用新骗术瞄准东欧国家大使馆和领事馆的员工,诱骗目标受害者安装恶意软件以窃取数据。

疑似俄网络间谍组织Turla利用“蚊子”后门攻击东欧国家大使馆和领事馆员工-E安全

恶意软件看似来自官方Adobe服务器

ESET公司在报告中指出,除了将后门与合法Flash Player安装程序捆绑在一起之外,Turla组织使用的URL及IP地址似乎来自Adobe的合法基础设施,从而让受害者误以为自己在下载合法软件。

据信,此次瞄准东欧国家大使馆和领事馆员工的攻击者于2016年7月开始使用植入“蚊子”(Mosquito)后门的Flasher安装程序发起攻击,这些攻击与Turla组织过去传播其它恶意软件的行径存在诸多相似之处,且同该组织此前曾使用的IP地址存在关联。

ESET方面指出,目前尚未发现Turla的恶意软件真正感染任何合法Flash Player更新的迹象,亦未发现其与任何已知Adobe产品漏洞存在关系。

潜在攻击场景,最可能发生ISP级别的攻击

ESET研究人员们指出,潜在攻击途径可能包括:

  • 一、劫持受害者组织机构网络内的设备,利用其充当中间人(简称MitM)攻击的跳板。

  • 二、攻击者可能入侵目标网关,借此拦截组织内网与互联网之间的所有输入与输出流量。

  • 三、流量拦截同样可能发生在互联网服务供应商(简称ISP)身上,这是FinFiher间谍软件在监控活动中使用的一项策略。

  • 四、攻击者可能已利用边界网关协议(简称BGP)劫持将流量重新路由至Turla控制的服务器,不过ESET方面指出该策略可能很快触发Adobe或BGP监控服务的警报。

研究人员指出,最有可能发生第三种攻击场景,因为过去曾发生过ISP级的中间人攻击。

疑似俄网络间谍组织Turla利用“蚊子”后门攻击东欧国家大使馆和领事馆员工-E安全

攻击细节

一旦用户下载并启动虚假的Flash安装程序,攻击过程由此开始。安装程序开始会在目标设备上释放Turla后门,它可能是“蚊子”,也可能是一款Win32恶意软件,亦可能是与Web应用程序(托管在Google Apps Script之上的)通信的恶意JavaScript文件,或从虚假Adobe URL处下载的未知文件。

之后,攻击者即可开始窃取敏感数据,包含受感染计算机的唯一ID、用户名以及设备上已安装的安全产品列表。不过在MacOS平台上,Turla的Snake后门仅能窃取用户名与设备名称。

伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序可能嵌入到其伪造的对象中,或者从 Google Drive 网址下载。

ESET研究人员报告称,目前已经发现了“蚊子”后门的新样本。据报告,新样本利用自定义加密器进行混淆,这使得恶意软件研究人员及安全软件更难以分析其代码内容。

为了在系统上持久驻留,该安装程序还会篡改操作系统的注册表,同时创建一个允许远程访问的管理帐户。

主后门CommanderDLL使用的扩展名为.pdb,其使用自定义加密算法,并可执行某些预定义操作。后门通知加密的日志文件追踪受感染设备上的所有内容。

Turla网络间谍组织

研究人员此前曾经发现,该组织的主要活动时间符合俄罗斯UTC +4时区的标准工作周期,因此其很可能身在俄罗斯境内。

Turla组织自2007年开始活跃,据认为是俄罗斯的网络间谍组织(也被称为Waterbug, Venomous Bear与KRYPTON),一直活跃于攻击政府机构与民间企业,2008年曾攻击美国国防部(DOD)。

该组织拥有庞大的工具集,通常被分为几类:Turla的间谍平台主要用来攻击Windows设备,但也会使用各种后门和Rootkit攻击MacOS和Linux设备,而最先进的恶意软件仅部署在其最感兴趣的设备上。

报告请戳

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。