【安全资讯】Turla组织使用新后门攻击前阿富汗政府

猎影实验室 2021-09-22 07:45:34 2790人浏览

引言

俄罗斯Turla APT组织在攻击活动中使用了一个名为TinyTurla的新后门。TinyTurla很可能被用作second-chance后门,以保持主恶意软件被删除的情况下仍可访问受感染,研究人员表示,该后门至少从2020年就开始投入使用。TinyTurla也可以用作第二阶段的释放器,利用其他恶意软件感染系统。目前,研究人员已在美国、德国以及阿富汗观察到了Turla APT组织的受害者。

 

简况

Turla组织又名Snake、Venomous Bear、Uroburos 和 WhiteBear,是一个俄罗斯APT组织,至少自 2004年以来就一直活跃。多年来,该组织以美国、乌克兰或阿拉伯国家为目标,开发并维护了一套庞大的攻击工具,如Crutch或Kazuar。

 

Turla组织使用.bat 文件来安装后门,后门以名为w64time.dll的DLL形式出现,描述和文件名使它看起来像一个有效的 Microsoft DLL。恶意软件隐藏在 svchost.exe 进程中,从注册表中读取其配置并将其保存在“result”结构中,然后将其分配给“sConfig”结构。DLL主要由几个函数和两个while循环组成,其中包括整个恶意软件逻辑。后门可以上传和执行文件或从受感染系统中窃取文件,后门每五秒通过 HTTPS 加密通道联系命令和控制 (C2) 服务器,以检查是否有来自操作者的新命令。w64time.dll如下图:

TinyTurla的C2命令代码对应以下功能:

  • 0x00:'身份验证'
  • 0x01:'执行进程'
  • 0x02:'使用输出集合执行'
  • 0x03:'下载文件'
  • 0x04:'上传文件'
  • 0x05:'创建子进程'
  • 0x06:'关闭子进程'
  • 0x07:'子进程管道输入/输出'
  • 0x08:'设置TimeLong'
  • 0x09:'设置TimeLong'
  • 0x0A:'设置新的安全密码'
  • 0x0B:'设置主机'

 

总结

此次发现的后门功能有限且编码风格简单,反恶意软件系统不容易将其检测为恶意软件。研究人员认为该软件至少自 2020 年以来就被攻击者使用,且以中等可信度评估,该后门的攻击目标是前阿富汗政府。

失陷指标(IOC)1
APT Turla 后门 阿富汗 TinyTurla 政府部门
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。