Turla APT

Turla，也称为“沉思的 Ursa”、“Uroburos”和“Snake”，代表着一种源自俄罗斯的复杂高级持续威胁 (APT)，其历史至少可以追溯到 2004 年，据称与俄罗斯联邦安全局 (FSB) 有联系。 Turla 以其有针对性的入侵和尖端的隐形策略而闻名，赢得了强大而难以捉摸的对手的声誉，在策划隐蔽和隐形网络攻击方面展示了卓越的技术实力。

多年来，Turla 的业务范围已扩展到超过 45 个国家，渗透到政府机构、外交使团、军事机构以及教育、研究和制药机构等各个领域。此外，根据乌克兰 CERT 的报告，该组织还涉及与 2022 年 2 月爆发的俄罗斯-乌克兰冲突相关的活动，表明针对乌克兰国防利益的间谍活动。

尽管 Turla 的间谍活动主要集中在基于 Windows 的系统上，但它已经展示了针对 macOS 和 Linux 平台的能力。通过不懈的发展，Turla 积累了强大的恶意软件工具库，包括但不限于 Capibar、 Kazuar、 Snake 、 Kopiluwak 、QUIETCANARY/Tunnus、 Crutch 、 ComRAT 、 Carbon和HyperStack以及TinyTurla ，这些工具已被积极用于各种威胁活动。

Turla 开始瞄准 Linux 系统

到 2014 年，Turla 已经在网络环境中运行数年，但其感染方式仍然是个谜。同年进行的研究揭示了一种名为 Epic Turla 的复杂多阶段攻击，揭示了 Turla 对 Epic 恶意软件系列的利用。该活动利用了漏洞 CVE-2013-5065 和 CVE-2013-3346，利用带有 Adobe PDF 漏洞的鱼叉式网络钓鱼电子邮件以及采用 Java 漏洞的水坑技术 (CVE-2012-1723)。

此次活动的一个值得注意的方面是 Turla 部署了 Carbon/Cobra 等先进后门，偶尔将两者用作故障转移机制。

Turla 之前的业务主要针对 Windows 系统，但在 2014 年 8 月，随着 Turla 首次涉足 Linux 领域，情况发生了变化。这项计划被称为 Penguin Turla，该团队采用了 Linux Turla 模块，该模块具有与多个库静态链接的 C/C++ 可执行文件，显着增加了该特定操作的文件大小。

Turla 在其攻击行动中引入了新的恶意软件威胁

2016 年，一个名为 Waterbug 的组织（据称是国家资助的实体）利用Trojan.Turla和Trojan.Wipbot的变种来利用零日漏洞，专门针对 Windows 内核 NDProxy.sys 本地权限提升漏洞 (CVE-2013) -5065）。根据研究结果，攻击者利用精心制作的包含不安全附件的电子邮件以及受感染的网站网络来传递其邪恶的有效负载。

第二年，研究人员发现了 Turla 恶意软件的高级版本 - 一个被称为 Carbon 的第二阶段后门。碳攻击的发起通常涉及受害者收到鱼叉式网络钓鱼电子邮件或偶然发现受感染的网站（俗称水坑）。

随后，安装了 Tavdig 或Skipper等第一阶段后门。完成侦察活动后，Carbon 框架会安排在关键系统上安装第二阶段后门。该框架包括一个负责安装其配置文件的 dropper、一个与命令和控制 (C&C) 服务器交互的通信组件、一个用于管理任务和网络内横向移动的编排器，以及一个用于执行编排器的加载器。

Turla 的 Kazuar 后门登场

2017 年 5 月，网络安全研究人员将新发现的后门木马Kazuar与 Turla 组织联系起来。 Kazuar 使用 Microsoft .NET Framework 开发，拥有功能强大的命令集，能够远程加载其他插件。

Kazuar 的操作方式是收集系统和恶意软件文件名信息，建立互斥体以确保单一执行，并将 LNK 文件添加到 Windows 启动文件夹中。

Kazuar 中的命令集与其他后门木马中的命令集相似。例如，tasklist 命令利用 Windows Management Instrumentation (WMI) 查询从 Windows 检索正在运行的进程，而 info 命令收集有关打开的窗口的数据。此外，Kazuar 的 cmd 命令在 Windows 系统中使用 cmd.exe，在 Unix 系统中使用 /bin/bash 执行命令，这表明其设计为针对 Windows 和 Unix 环境的跨平台恶意软件。

2021 年初的进一步研究揭示了Sunburst和 Kazuar 后门之间的显着相似之处。

2017 年将发生更多 Turla 攻击活动

Turla 推出了一个新的第二阶段后门，名为Gazer，用 C++ 编码，利用水坑攻击和鱼叉式网络钓鱼活动来精确定位受害者。

除了增强的隐身能力之外，Gazer 还与之前使用的 Carbon 和 Kazuar 等第二阶段后门有许多相似之处。该活动的一个显着特点是在代码中集成了“视频游戏相关”句子。 Turla 通过使用其专有的 3DES 和 RSA 加密库对其进行加密，确保了 Gazer 的命令与控制 (C&C) 服务器的安全。

Turla 整合了来自其他网络犯罪组织的威胁和基础设施

2018 年，一份情报报告表明，Turla 采用了新开发的有害工具Neuron和Nautilus以及Snake Rootkit来针对 Windows 计算机，特别是邮件和 Web 服务器。 Turla 利用受感染的 Snake 受害者扫描 ASPX shell，通过加密的 HTTP cookie 值传输命令。 Turla 利用 ASPX shell 建立对目标系统的初始访问，以部署其他工具。

2018年，Turla再次将目光瞄准了欧洲各国政府的外交部，旨在通过后门渗透高度敏感的信息。该活动针对 Microsoft Outlook 和 The Bat!（东欧广泛使用的邮件客户端），将所有外发电子邮件重定向至攻击者。该后门利用电子邮件来提取数据，采用特制的 PDF 文档，并利用电子邮件作为其命令与控制 (C&C) 服务器的渠道。

2019 年，Turla 运营商利用 OilRig 的基础设施进行自己的攻击行动，OilRig 是一个与伊朗有关联的 APT 组织，以中东政府实体和组织为目标而闻名。该活动涉及部署经过大量修改的自定义变体Mimikatz工具以及一系列具有多个新后门的新工具。在活动的后期阶段，Turla 组织利用了一个独特的远程过程调用 (RPC) 后门，合并了可公开访问的 PowerShell Runner 工具中的代码，以在不依赖 powershell.exe 的情况下执行 PowerShell 脚本。

2020 年全年发布的新后门威胁

2020 年 3 月，安全分析师观察到 Turla 采用水坑攻击来针对众多亚美尼亚网站。这些网站被注入了损坏的 JavaScript 代码，但攻击中使用的精确访问方法仍未公开。

随后，受感染的网页分发了第二阶段受感染的 JavaScript 代码，以识别受害者浏览器并诱骗他们安装不良的 Flash 安装程序。 Turla 随后利用NetFlash （一种 .NET 下载程序）和PyFlash进行辅助恶意软件部署。

几个月后，Turla 采用ComRAT v4 （别名 Agent.BTZ）作为远程访问木马 (RAT)。该恶意软件使用 C++ 制作，具有虚拟 FAT16 文件系统，经常用于窃取敏感文档。它通过已建立的访问路由（例如PowerStallion PowerShell 后门）进行传播，同时使用 HTTP 和电子邮件作为命令和控制 (C&C) 通道。

到 2020 年底，网络安全专家偶然发现了一个名为Crutch的无证后门和文档提取器，归属于 Turla 组织。 Crutch 的早期版本包含一个后门，通过官方 HTTP API 与预先确定的 Dropbox 帐户进行通信。

该后门能够在 Google Chrome、Mozilla Firefox 或 Microsoft OneDrive 上通过 DLL 劫持来执行与文件操作、进程执行和建立持久性相关的命令。值得注意的是，Crutch v4 拥有一个自动化功能，可以将本地和可移动驱动器文件上传到 Dropbox 存储，这由 Windows 版本的 Wget 实用程序提供便利，这与之前依赖后门命令的迭代不同。

Turla APT 集团发布 TinyTurla 恶意软件并开始针对乌克兰的资产

TinyTurla 后门的出现在 2021 年引起了人们的关注。这种威胁可能可以作为应急计划，即使在主要恶意软件被删除的情况下也能持续访问系统。该后门的安装是通过批处理文件实现的，并表现为名为 w64time.dll 的服务 DLL，旨在模仿 Windows 平台上的合法 w32time.dll 文件。

在俄罗斯入侵乌克兰期间，图尔拉 APT 将其重点转向符合俄罗斯在冲突中利益的目标。乌克兰计算机紧急响应小组 (CERT-UA) 于 2023 年 7 月发布的一份公告披露，Turla 利用 Capibar 恶意软件和 Kazuar 后门针对乌克兰国防资产开展间谍活动。在这次行动中，卡皮巴尔负责情报收集，而卡祖尔则专门从事凭证盗窃。此次攻击主要通过网络钓鱼活动针对外交和军事实体。

TinyTurla-NG 和 Pelmeni Wrapper 的出现

到 2023 年底，Turla 威胁行为者被发现在为期三个月的活动中使用了名为 TinyTurla-NG 的新后门。这次袭击行动专门针对波兰的非政府组织。与其前身类似， TinyTurla-NG充当紧凑的“最后手段”后门。它被战略性地部署为保持休眠状态，直到受感染系统上的所有其他未经授权的访问或后门机制失败或被发现。

2024 年 2 月，网络安全分析师发现了一个新的 Turla 活动，展示了创新策略和 Kazuar 特洛伊木马的修改变种。在这次特定的攻击行动中，Kazuar 威胁通过一个名为Pelmeni的先前未记录的包装程序分发给目标受害者。

尽管经过多年的详细攻击行动，Turla APT 仍然是一个主要的网络威胁

图拉组织是一个持久而持久的对手，拥有悠久的活动记录。他们的起源、战术和目标选择表明这是一次由熟练特工领导的资源充足的行动。多年来，Turla 不断增强其工具和方法，表明了对持续改进的承诺。

Turla 等组织构成的威胁凸显了组织和政府保持警惕的必要性。这需要及时了解事态发展、交换情报并实施强有力的安全措施。这些积极主动的措施使团体和个人能够加强防御，抵御此类行为者构成的威胁。