Turla APT

Turla, også kendt som Pensive Ursa, Uroburos og Snake, repræsenterer en sofistikeret Advanced Persistent Threat (APT), der stammer fra Rusland, med en historie, der går tilbage til mindst 2004 og påståede bånd til den russiske føderale sikkerhedstjeneste (FSB). Turla, der er kendt for sine målrettede indtrængen og banebrydende stealth-taktik, har fået et ry som en formidabel og undvigende modstander, der viser exceptionel teknisk dygtighed i at orkestrere hemmelige og snigende cyberangreb.

I årenes løb har Turla udvidet sin rækkevidde på tværs af mere end 45 lande og infiltreret en bred vifte af sektorer såsom statslige agenturer, diplomatiske missioner, militære institutioner samt uddannelses-, forsknings- og farmaceutiske institutioner. Derudover er gruppen blevet impliceret i aktiviteter relateret til den russisk-ukrainske konflikt, der brød ud i februar 2022, ifølge rapporter fra Ukraine CERT, hvilket indikerer spionageoperationer rettet mod ukrainske forsvarsinteresser.

Selvom Turla overvejende fokuserede sin spionageindsats på Windows-baserede systemer, har den demonstreret evner til at målrette mod macOS- og Linux-platforme. Gennem ubarmhjertig udvikling har Turla samlet et formidabelt arsenal af malware-værktøjer, herunder men ikke begrænset til Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon og HyperStack og TinyTurla , som har været aktivt brugt i forskellige truende kampagner .

Turla begynder at målrette mod Linux-systemer

I 2014 havde Turla allerede opereret i cyberlandskabet i flere år, men metoden til dets infektion forblev et mysterium. Forskning udført samme år kastede lys over et sofistikeret flertrinsangreb kaldet Epic Turla, og afslørede Turlas brug af Epic malware-familien. Denne kampagne udnyttede sårbarhederne CVE-2013-5065 og CVE-2013-3346 og udnyttede spear-phishing-e-mails bevæbnet med Adobe PDF-udnyttelser sammen med vandhulsteknikker, der anvender Java-benyttelser (CVE-2012-1723).

Et bemærkelsesværdigt aspekt af denne kampagne var Turlas indsættelse af avancerede bagdøre såsom Carbon/Cobra, der lejlighedsvis brugte begge som en failover-mekanisme.

Tidligere Turla-operationer var hovedsageligt rettet mod Windows-systemer, men i august 2014 ændrede landskabet sig, da Turla vovede sig ind i Linux-territorium for første gang. Dette initiativ, kendt som Penguin Turla, fik gruppen til at bruge et Linux Turla-modul med en C/C++ eksekverbar statisk linket mod flere biblioteker, hvilket væsentligt øgede dens filstørrelse for denne særlige operation.

Turla introducerer nye malware-trusler i sine angrebsoperationer

I 2016 brugte en gruppe kendt som Waterbug, angiveligt en statssponsoreret enhed, varianter af Trojan.Turla og Trojan.Wipbot til at udnytte en nul-dages sårbarhed, specifikt rettet mod Windows Kernel NDProxy.sys lokale privilegieeskaleringssårbarhed (CVE-2013) -5065). Ifølge forskningsresultater brugte angriberne omhyggeligt udformede e-mails indeholdende usikre vedhæftede filer sammen med et netværk af kompromitterede websteder til at levere deres uhyggelige nyttelast.

Året efter afslørede forskere en avanceret iteration af Turla-malwaren - en anden fase bagdør identificeret som Carbon. Indledning af et kulstofangreb involverer typisk, at offeret enten modtager en spyd-phishing-e-mail eller snubler over et kompromitteret websted, i daglig tale kendt som et vandhul.

Efterfølgende installeres en første-trins bagdør som Tavdig eller Skipper . Efter afslutning af rekognosceringsaktiviteter orkestrerer Carbon-rammen installationen af dens anden trins bagdør på kritiske systemer. Denne ramme omfatter en dropper, der er ansvarlig for at installere dens konfigurationsfil, en kommunikationskomponent til at interagere med Command and Control (C&C) serveren, en orkestrator til styring af opgaver og lateral bevægelse inden for netværket og en loader til at udføre orkestratoren.

Turlas Kazuar-bagdør kommer ind i scenen

I maj 2017 koblede cybersikkerhedsforskere en nyopdaget bagdør-trojaner, Kazuar, til Turla-gruppen. Kazuar er udviklet ved hjælp af Microsoft .NET Framework og kan prale af meget funktionelle kommandosæt, der er i stand til at fjernindlæse yderligere plug-ins.

Kazuar opererer ved at indsamle system- og malware-filnavneoplysninger, etablere en mutex for at sikre enestående udførelse og tilføje en LNK-fil til Windows-startmappen.

Kommandosættene i Kazuar udviser ligheder med dem, der findes i andre bagdørstrojanske heste. For eksempel bruger opgavelistekommandoen en Windows Management Instrumentation (WMI)-forespørgsel til at hente kørende processer fra Windows, mens info-kommandoen indsamler data på åbne vinduer. Desuden udfører Kazuars cmd-kommando kommandoer ved hjælp af cmd.exe til Windows-systemer og /bin/bash til Unix-systemer, hvilket angiver dets design som en cross-platform malware rettet mod både Windows- og Unix-miljøer.

Yderligere forskning i begyndelsen af 2021 afslørede bemærkelsesværdige paralleller mellem Sunburst- og Kazuar-bagdørene.

Flere Turla-angrebskampagner finder sted i 2017

Turla introducerede en ny bagdør i anden fase kaldet Gazer, kodet i C++, som udnyttede vandhulsangreb og spyd-phishing-kampagner for at målrette ofrene præcist.

Ud over dets forbedrede stealth-egenskaber udviste Gazer adskillige ligheder med tidligere anvendte bagdøre på anden trin som Carbon og Kazuar. Et bemærkelsesværdigt træk ved denne kampagne var integrationen af 'videospil-relaterede' sætninger i koden. Turla sikrede Gazers Command and Control-server (C&C) ved at kryptere den med dets proprietære bibliotek til 3DES- og RSA-kryptering.

Turla inkorporerer trusler og infrastruktur fra andre cyberkriminalitetsgrupper

I 2018 indikerede en efterretningsrapport, at Turla brugte nyudviklede skadelige værktøjer, Neuron og Nautilus , sammen med Snake Rootkit , til at målrette mod Windows-maskiner med særligt fokus på mail og webservere. Turla brugte kompromitterede Snake-ofre til at scanne efter ASPX-skaller og transmitterede kommandoer via krypterede HTTP-cookieværdier. Turla udnyttede ASPX-skaller til at etablere indledende adgang til målsystemer til udrulning af yderligere værktøjer.

Igen i 2018 satte Turla sigte mod europæiske regeringers udenrigskontorer med det formål at infiltrere meget følsomme oplysninger gennem en bagdør. Denne kampagne var rettet mod Microsoft Outlook og The Bat!, en meget brugt mail-klient i Østeuropa, der omdirigerer alle udgående e-mails til angriberne. Bagdøren brugte e-mail-beskeder til at udtrække data, ved at bruge specialfremstillede PDF-dokumenter og bruge e-mail-beskeder som en kanal for dens Command and Control (C&C) server.

I 2019 udnyttede Turla-operatører infrastrukturen i OilRig, en APT-gruppe tilknyttet Iran, der er kendt for at målrette regeringsenheder og organisationer i Mellemøsten, til at udføre deres egne angrebsoperationer. Denne kampagne involverede implementeringen af en stærkt modificeret, tilpasset variant af Mimikatz- værktøjet sammen med en ny række værktøjer med flere friske bagdøre. I de senere faser af kampagnen brugte Turla-gruppen en særskilt Remote Procedure Call (RPC) bagdør, der inkorporerede kode fra det offentligt tilgængelige PowerShell Runner-værktøj til at udføre PowerShell-scripts uden at stole på powershell.exe.

Nye bagdørstrusler frigivet i hele 2020

I marts 2020 observerede sikkerhedsanalytikere, at Turla brugte vandhulsangreb til at målrette adskillige armenske websteder. Disse websteder blev injiceret med korrupt JavaScript-kode, selvom de præcise adgangsmetoder, der blev brugt i angrebene, forbliver uoplyst.

Efterfølgende distribuerede de kompromitterede websider anden trins kompromitteret JavaScript-kode for at identificere ofrets browsere og lokke dem til at installere et dårligt Flash-installationsprogram. Turla udnyttede derefter NetFlash , en .NET-downloader, og PyFlash til sin sekundære malware-implementering.

Et par måneder senere brugte Turla ComRAT v4 , alias Agent.BTZ, som en Remote Access Trojan (RAT). Denne malware, der er lavet ved hjælp af C++, har et virtuelt FAT16-filsystem, der ofte bruges til at eksfiltrere følsomme dokumenter. Det formidles gennem etablerede adgangsruter såsom PowerStallion PowerShell-bagdøren, mens HTTP og e-mail bruges som kommando- og kontrolkanaler (C&C).

Mod slutningen af 2020 faldt cybersikkerhedseksperter over en udokumenteret bagdør og dokumentudtrækker ved navn Crutch , tilskrevet Turla-gruppen. Tidligere versioner af Crutch inkluderede en bagdør, der kommunikerer med en forudbestemt Dropbox-konto via den officielle HTTP API.

Denne bagdør havde evner til at udføre kommandoer relateret til filmanipulation, procesudførelse og etablering af persistens gennem DLL-kapring på Google Chrome, Mozilla Firefox eller Microsoft OneDrive. Navnlig kan Crutch v4 prale af en automatiseret funktion til at uploade lokale og flytbare drevfiler til Dropbox-lageret, lettet af Windows-versionen af Wget-værktøjet, i modsætning til tidligere iterationer, der er afhængige af bagdørskommandoer.

Turla APT Group frigiver TinyTurla Malware og begynder at målrette mod aktiver i Ukraine

Fremkomsten af TinyTurla-bagdøren blev opmærksom på i 2021. Denne trussel fungerer sandsynligvis som en beredskabsplan, der muliggør vedvarende adgang til systemer, selv i tilfælde af primær malwarefjernelse. Installation af denne bagdør lettes gennem en batch-fil og manifesterer sig som en service-DLL ved navn w64time.dll, der sigter mod at efterligne den legitime w32time.dll-fil på Windows-platforme.

Midt i den russiske invasion af Ukraine omdirigerede Turla APT sit fokus mod mål i overensstemmelse med Ruslands interesser i konflikten. En meddelelse fra Ukraines Computer Emergency Response Team (CERT-UA) i juli 2023 afslørede Turlas brug af Capibar-malwaren og Kazuar-bagdøren til spionageaktiviteter rettet mod ukrainske forsvarsaktiver. I denne operation blev Capibar ansat til efterretningsindsamling, mens Kazuar specialiserede sig i legitimationstyveri. Angrebet var hovedsageligt rettet mod diplomatiske og militære enheder gennem phishing-kampagner.

Fremkomsten af TinyTurla-NG og Pelmeni Wrapper

Mod slutningen af 2023 blev Turla-trusselsaktøren observeret bruge en ny bagdør ved navn TinyTurla-NG i en kampagne, der strækker sig over tre måneder. Angrebsoperationen var specifikt rettet mod ikke-statslige organisationer i Polen. I lighed med sin forgænger fungerer TinyTurla-NG som en kompakt 'sidste udvej' bagdør. Det er strategisk implementeret til at forblive i dvale, indtil al anden uautoriseret adgang eller bagdørsmekanismer på de kompromitterede systemer enten er fejlet eller blevet opdaget.

I februar 2024 afslørede cybersikkerhedsanalytikere en frisk Turla-kampagne, der fremviste innovative strategier og en modificeret variant af Kazuar Trojan. I denne særlige angrebsoperation blev Kazuar-truslen distribueret til de målrettede ofre gennem en tidligere udokumenteret indpakning ved navn Pelmeni .

Turla APT forbliver en stor cybertrussel på trods af flere års detaljerede angrebsoperationer

Turla-gruppen står som en vedholdende og udholdende modstander, der kan prale af en lang track record af aktiviteter. Deres oprindelse, taktik og valg af mål tyder på en operation med gode ressourcer ledet af dygtige operatører. Gennem årene har Turla konsekvent forbedret sine værktøjer og metoder, hvilket indikerer en forpligtelse til kontinuerlig forfining.

Truslen fra grupper som Turla understreger nødvendigheden af, at organisationer og regeringer opretholder årvågenhed. Dette indebærer at holde sig ajour med udviklingen, udveksle efterretninger og implementere robuste sikkerhedsforanstaltninger. Sådanne proaktive skridt sætter både grupper og individer i stand til at styrke deres forsvar mod de trusler, som sådanne aktører udgør.