Multi-License Discount Quote
پایگاه داده تهدید Advanced Persistent Threat (APT) Turla APT

Turla APT

تا Mezo در Advanced Persistent Threat (APT), Malware
ترجمه به:
فارسی

تورلا که با نام‌های خرس متفکر، اوروبوروس و مار نیز شناخته می‌شود، نشان‌دهنده یک تهدید پایدار پیشرفته (APT) است که از روسیه سرچشمه می‌گیرد، با سابقه‌ای که حداقل به سال 2004 برمی‌گردد و ظاهراً با سرویس امنیت فدرال روسیه (FSB) ارتباط دارد. تورلا که به‌خاطر نفوذهای هدفمند و تاکتیک‌های پنهان‌کاری پیشرفته‌اش شهرت دارد، به عنوان یک دشمن مهیب و گریزان شهرت پیدا کرده است و مهارت فنی استثنایی در سازمان‌دهی حملات سایبری مخفیانه و مخفیانه به نمایش می‌گذارد.

طی سال‌ها، تورلا دامنه فعالیت خود را در بیش از 45 کشور گسترش داده است و در مجموعه‌های متنوعی از بخش‌ها مانند آژانس‌های دولتی، نمایندگی‌های دیپلماتیک، مؤسسات نظامی، و همچنین مؤسسات آموزشی، تحقیقاتی و دارویی نفوذ کرده است. علاوه بر این، طبق گزارش‌های CERT اوکراین، این گروه در فعالیت‌های مربوط به درگیری روسیه و اوکراین که در فوریه 2022 شروع شد، دخیل بوده است که نشان‌دهنده عملیات جاسوسی برای منافع دفاعی اوکراین است.

اگرچه Turla عمدتاً تلاش‌های جاسوسی خود را بر روی سیستم‌های مبتنی بر ویندوز متمرکز کرده است، اما توانایی‌هایی را برای هدف قرار دادن پلتفرم‌های macOS و Linux نشان داده است. از طریق توسعه بی وقفه، Turla زرادخانه عظیمی از ابزارهای بدافزار را جمع آوری کرده است، از جمله Capibar، Kazuar، Snake ، Kopiluwak ، QUIETCANARY/Tunnus، Crutch ، ComRAT ، Carbon و HyperStack و TinyTurla که به طور فعال در کمپین های مختلف به کار گرفته شده اند. .

تورلا شروع به هدف قرار دادن سیستم های لینوکس کرد

تا سال 2014، تورلا چندین سال در چشم انداز سایبری فعالیت می کرد، اما روش آلوده شدن آن همچنان یک راز باقی مانده بود. تحقیقاتی که در همان سال انجام شد، یک حمله چند مرحله‌ای پیچیده به نام Epic Turla را روشن کرد که استفاده Turla از خانواده بدافزار Epic را آشکار کرد. این کمپین از آسیب‌پذیری‌های CVE-2013-5065 و CVE-2013-3346، بهره‌برداری از ایمیل‌های spear-phishing مجهز به اکسپلویت‌های Adobe PDF در کنار تکنیک‌های حفره آب با استفاده از اکسپلویت‌های جاوا (CVE-2012-1723) استفاده کرد.

یکی از جنبه های قابل توجه این کمپین، استقرار تورلا از درهای پشتی پیشرفته ای مانند کربن/کبرا بود که گهگاه از هر دو به عنوان مکانیزم خرابکاری استفاده می کرد.

عملیات قبلی تورلا عمدتاً سیستم‌های ویندوز را هدف قرار می‌داد، اما در آگوست 2014، با ورود تورلا به قلمرو لینوکس، چشم‌انداز تغییر کرد. این ابتکار که به عنوان Penguin Turla شناخته می شود، باعث شد این گروه از یک ماژول لینوکس Turla استفاده کند که دارای یک فایل اجرایی C/C++ است که به طور ایستا با چندین کتابخانه مرتبط شده است و به طور قابل توجهی اندازه فایل آن را برای این عملیات خاص افزایش می دهد.

Turla تهدیدات بدافزار جدیدی را در عملیات حمله خود معرفی می کند

در سال 2016، گروهی به نام Waterbug، که ظاهراً یک نهاد تحت حمایت دولت است، از انواع Trojan.Turla و Trojan.Wipbot برای سوء استفاده از یک آسیب‌پذیری روز صفر استفاده کرد، به طور خاص آسیب‌پذیری افزایش امتیاز محلی Windows Kernel NDProxy.sys (CVE-2013) را هدف قرار داد. -5065). بر اساس یافته‌های تحقیقاتی، مهاجمان از ایمیل‌های دقیق ساخته شده حاوی پیوست‌های ناامن در کنار شبکه‌ای از وب‌سایت‌های آسیب‌دیده برای تحویل بارهای مخرب خود استفاده کردند.

سال بعد، محققان یک نسخه پیشرفته از بدافزار Turla را کشف کردند - یک درب پشتی مرحله دوم که به عنوان کربن شناسایی شد. شروع حمله کربن معمولاً شامل دریافت یک ایمیل فیشینگ نیزه‌ای توسط قربانی می‌شود یا تصادفاً به یک وب‌سایت آسیب‌دیده برخورد می‌کند که در محاوره‌ای به عنوان یک سوراخ آبی شناخته می‌شود.

پس از آن، درب پشتی مرحله اول مانند Tavdig یا Skipper نصب می شود. پس از اتمام فعالیت های شناسایی، چارچوب کربن نصب درب پشتی مرحله دوم خود را بر روی سیستم های حیاتی هماهنگ می کند. این چارچوب شامل یک قطره چکان است که مسئول نصب فایل پیکربندی آن، یک مؤلفه ارتباطی برای تعامل با سرور فرماندهی و کنترل (C&C)، یک ارکستراتور برای مدیریت وظایف و حرکت جانبی در داخل شبکه، و یک لودر برای اجرای ارکستراتور است.

کازودر پشتی تورلا وارد صحنه می شود

در می 2017، محققان امنیت سایبری یک تروجان درپشتی تازه کشف شده به نام Kazuar را به گروه Turla مرتبط کردند. Kazuar که با استفاده از Microsoft .NET Framework توسعه یافته است، دارای مجموعه دستورات بسیار کاربردی است که قادر به بارگیری از راه دور افزونه های اضافی هستند.

Kazuar با جمع آوری اطلاعات نام فایل سیستم و بدافزار، ایجاد یک mutex برای اطمینان از اجرای تکی و افزودن یک فایل LNK به پوشه راه اندازی ویندوز عمل می کند.

مجموعه‌های دستوری در Kazuar شباهت‌هایی به آنچه در دیگر تروجان‌های درپشتی یافت می‌شود، نشان می‌دهد. به عنوان مثال، دستور tasklist از یک جستجوی ابزار مدیریت ویندوز (WMI) برای بازیابی فرآیندهای در حال اجرا از ویندوز استفاده می کند، در حالی که دستور info داده ها را در پنجره های باز جمع آوری می کند. علاوه بر این، دستور cmd Kazuar دستورات را با استفاده از cmd.exe برای سیستم‌های ویندوز و /bin/bash برای سیستم‌های یونیکس اجرا می‌کند، که نشان‌دهنده طراحی آن به عنوان یک بدافزار چند پلتفرمی است که هم محیط‌های ویندوز و هم یونیکس را هدف قرار می‌دهد.

تحقیقات بیشتر در اوایل سال 2021 شباهت های قابل توجهی را بین درب پشتی Sunburst و Kazuar آشکار کرد.

کمپین های حمله Turla بیشتری در سال 2017 در حال انجام است

تورلا یک درب پشتی مرحله دوم جدید به نام Gazer را معرفی کرد که با کد C++، از حملات و کمپین‌های فیشینگ نیزه‌ای برای هدف قرار دادن قربانیان استفاده می‌کرد.

گازر علاوه بر قابلیت‌های مخفی‌کاری پیشرفته‌اش، شباهت‌های زیادی به درب‌های پشتی مرحله دومی مانند کربن و کاوزور که قبلاً استفاده می‌شد، داشت. یکی از ویژگی های قابل توجه این کمپین، ادغام جملات مربوط به بازی های ویدئویی در کد بود. تورلا با رمزگذاری سرور Gazer's Command and Control (C&C) آن را با کتابخانه اختصاصی خود برای رمزگذاری 3DES و RSA ایمن کرد.

Turla تهدیدات و زیرساخت های دیگر گروه های جرایم سایبری را در خود جای داده است

در سال 2018، یک گزارش اطلاعاتی نشان داد که Turla از ابزارهای مضر جدید توسعه یافته Neuron و Nautilus در کنار Snake Rootkit برای هدف قرار دادن ماشین‌های ویندوز با تمرکز ویژه بر ایمیل و سرورهای وب استفاده کرده است. Turla از قربانیان Snake به خطر افتاده برای اسکن پوسته های ASPX استفاده کرد و دستورات را از طریق مقادیر کوکی HTTP رمزگذاری شده ارسال کرد. تورلا از پوسته های ASPX برای ایجاد دسترسی اولیه به سیستم های هدف برای استقرار ابزارهای اضافی استفاده کرد.

بار دیگر در سال 2018، تورلا با هدف نفوذ به اطلاعات بسیار حساس از طریق یک درب پشتی، دفاتر خارجی دولت های اروپایی را مورد توجه قرار داد. این کمپین مایکروسافت Outlook و The Bat را که یک سرویس گیرنده ایمیل پرکاربرد در اروپای شرقی است، هدف قرار داد و همه ایمیل‌های ارسالی را به مهاجمان هدایت کرد. در پشتی از پیام‌های ایمیل برای استخراج داده‌ها، استفاده از اسناد PDF ساخته‌شده خاص و استفاده از پیام‌های ایمیل به عنوان مجرای برای سرور فرماندهی و کنترل (C&C) خود استفاده می‌کرد.

در سال 2019، اپراتورهای Turla از زیرساخت‌های OilRig، یک گروه APT مرتبط با ایران که به دلیل هدف قرار دادن نهادها و سازمان‌های دولتی در خاورمیانه شناخته می‌شود، برای انجام عملیات‌های حمله خود استفاده کردند. این کمپین شامل استقرار یک نوع سفارشی و بسیار تغییر یافته از ابزار Mimikatz در کنار آرایه جدیدی از ابزارها با چندین درب پشتی تازه بود. در مراحل بعدی کمپین، گروه Turla از یک درپشتی مجزا با روش Remote Procedure Call (RPC) استفاده کرد که کدهای ابزار PowerShell Runner در دسترس عموم را برای اجرای اسکریپت های PowerShell بدون تکیه بر powershell.exe ترکیب می کرد.

تهدیدات درب پشتی جدید در سراسر سال 2020 منتشر شد

در مارس 2020، تحلیلگران امنیتی تورلا را مشاهده کردند که از حملات تهاجمی برای هدف قرار دادن چندین وب سایت ارمنی استفاده می کند. این وب‌سایت‌ها با کد جاوا اسکریپت خراب تزریق شده‌اند، اگرچه روش‌های دقیق دسترسی مورد استفاده در حملات فاش نشده است.

متعاقباً، صفحات وب در معرض خطر، کد جاوا اسکریپت در معرض خطر مرحله دوم را برای شناسایی مرورگرهای قربانی و ترغیب آنها به نصب یک نصب کننده بد فلش، توزیع کردند. تورلا سپس از NetFlash ، یک دانلود کننده دات نت و PyFlash برای استقرار بدافزار ثانویه خود استفاده کرد.

چند ماه بعد، تورلا از ComRAT v4 با نام مستعار Agent.BTZ به عنوان یک تروجان دسترسی از راه دور (RAT) استفاده کرد. این بدافزار که با استفاده از C++ ساخته شده است، دارای یک سیستم فایل مجازی FAT16 است که اغلب برای استخراج اسناد حساس مورد استفاده قرار می گیرد. از طریق مسیرهای دسترسی ایجاد شده مانند درب پشتی PowerStallion PowerShell در حالی که از HTTP و ایمیل به عنوان کانال های فرمان و کنترل (C&C) استفاده می شود، منتشر می شود.

در اواخر سال 2020، کارشناسان امنیت سایبری به طور تصادفی با یک درب پشتی و استخراج کننده اسناد غیرقانونی به نام کراچ برخورد کردند که به گروه Turla نسبت داده می شد. نسخه های قبلی Crutch شامل یک درب پشتی بود که با یک حساب Dropbox از پیش تعیین شده از طریق API رسمی HTTP ارتباط برقرار می کرد.

این درپشتی دارای قابلیت‌هایی برای اجرای دستورات مربوط به دستکاری فایل، اجرای فرآیند، و ایجاد پایداری از طریق ربودن DLL در Google Chrome، Mozilla Firefox یا Microsoft OneDrive بود. نکته قابل توجه، Crutch v4 دارای یک ویژگی خودکار برای آپلود فایل‌های درایو محلی و قابل جابجایی در فضای ذخیره‌سازی Dropbox است که توسط نسخه ویندوز ابزار Wget تسهیل می‌شود، برخلاف تکرارهای قبلی که به دستورات درب پشتی وابسته بودند.

گروه Turla APT بدافزار TinyTurla را راه اندازی می کند و شروع به هدف قرار دادن دارایی ها در اوکراین می کند.

ظهور درپشتی TinyTurla در سال 2021 مورد توجه قرار گرفت. این تهدید احتمالاً به عنوان یک طرح احتمالی عمل می کند و دسترسی پایدار به سیستم ها را حتی در صورت حذف بدافزار اولیه امکان پذیر می کند. نصب این درب پشتی از طریق یک فایل دسته ای تسهیل می شود و به عنوان یک DLL سرویس به نام w64time.dll ظاهر می شود، با هدف تقلید از فایل قانونی w32time.dll در سیستم عامل های ویندوز.

در بحبوحه تهاجم روسیه به اوکراین، تورلا APT تمرکز خود را به سمت اهداف همسو با منافع روسیه در درگیری هدایت کرد. در ژوئیه 2023 اعلامیه‌ای از سوی تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) استفاده تورلا از بدافزار Capibar و درب پشتی Kazuar برای فعالیت‌های جاسوسی که دارایی‌های دفاعی اوکراین را هدف قرار می‌دهد، فاش کرد. در این عملیات کاپیبار برای جمع‌آوری اطلاعات به کار گرفته شد و کازوار در زمینه سرقت مدارک تحصیلی تخصص داشت. این حمله عمدتاً نهادهای دیپلماتیک و نظامی را از طریق کمپین های فیشینگ هدف قرار داد.

ظهور TinyTurla-NG و Pelmeni Wrapper

در اواخر سال 2023، بازیگر تهدید Turla مشاهده شد که از یک درپشتی جدید به نام TinyTurla-NG در یک کمپین سه ماهه استفاده می کند. عملیات حمله به طور خاص سازمان های غیر دولتی در لهستان را هدف قرار داد. مشابه مدل قبلی خود، TinyTurla-NG به عنوان یک درب عقب جمع و جور "آخرین راه حل" عمل می کند. از نظر استراتژیک مستقر شده است تا زمانی که سایر مکانیسم‌های دسترسی غیرمجاز یا درب پشتی در سیستم‌های آسیب‌دیده شکست بخورند یا کشف نشوند، خاموش بماند.

در فوریه 2024، تحلیلگران امنیت سایبری کمپین جدیدی از Turla را کشف کردند که استراتژی‌های نوآورانه و یک نوع اصلاح شده از تروجان Kazuar را به نمایش می‌گذاشت. در این عملیات حمله خاص، تهدید کاوزور از طریق یک لفاف بدون سند به نام پلمنی بین قربانیان هدف توزیع شد.

Turla APT یک تهدید سایبری بزرگ با وجود سال ها عملیات دقیق حمله باقی می ماند

گروه تورلا به عنوان یک حریف سرسخت و بادوام ایستاده است و سابقه طولانی فعالیت دارد. منشأ، تاکتیک‌ها و انتخاب اهداف آنها حاکی از یک عملیات با منابع خوب است که توسط عوامل ماهر رهبری می‌شود. طی سال‌ها، تورلا به طور مداوم ابزارها و روش‌های خود را ارتقا داده است، که نشان دهنده تعهد به اصلاح مداوم است.

تهدیدی که توسط گروه هایی مانند تورلا ایجاد می شود، بر ضرورت حفظ هوشیاری سازمان ها و دولت ها تاکید می کند. این مستلزم در جریان ماندن از تحولات، تبادل اطلاعات و اجرای اقدامات امنیتی قوی است. چنین اقدامات پیشگیرانه ای هم گروه ها و هم افراد را قادر می سازد تا دفاع خود را در برابر تهدیدات ناشی از چنین بازیگرانی تقویت کنند.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
36,927
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...