Threat Database Backdoors 툴라 백도어

툴라 백도어

Turla APT(Advanced Persistent Threat)는 악명 높은 러시아 해킹 그룹으로 현재 10년 넘게 운영되고 있습니다. Uroburos APT 또는 Snake APT라고도 합니다. 그들은 고급 피해자를 좋아하는 것으로 유명합니다. Turla APT는 독일 연방 행정 대학에 침투한 후 이를 통해 독일 연방 외무부를 훼손한 것으로 보고되었습니다. 게다가 이것은 일회성 침투가 아니었습니다. Turla APT는 2017년 거의 전체 기간 동안 독일 당국의 감시를 받았다는 사실이 밝혀졌습니다. 이 기간 동안 해킹 그룹은 정부 데이터를 빼돌리고 수집했습니다. 이 인상적인 작업은 Turla Backdoor라는 APT의 도구로 수행되었습니다.

3개의 유럽 국가가 이 러시아 해킹 그룹의 공격을 보고했습니다. 목표는 다시 한 번 그들의 해외 사무소였습니다. Turla APT의 주요 목표는 항상 외교관, 군대 및 국가 당국과 정치인이었기 때문에 스파이 활동에 크게 연루되어 있다고 가정하는 것이 안전합니다. Turla APT가 러시아 정부와 연결되어 있을지도 모른다는 의혹이 있지만 이 정보는 아직 확인되지 않았습니다.

Turla APT의 백도어는 2009년에 시작된 것으로 여겨집니다. 그러나 해킹 그룹은 수년 동안 유휴 상태가 아니었으며 이메일에 첨부된 PDF 파일을 통해 명령을 수신하는 위협 기능과 같은 백도어에 많은 개선 사항을 도입했습니다. , 2016년에 소개되었습니다. 2018년에 Turla APT의 백도어에 새로운 기능이 추가되었습니다. 이 기능은 감염된 호스트에서 PowerShell 명령을 실행할 수 있는 기능으로 업그레이드되었습니다.

이 백도어의 최신 버전은 Microsoft Outlook에 침투할 수 있는 기능을 갖추고 있습니다. 흥미롭게도 Turla APT는 응용 프로그램의 취약점을 사용하지 않고 대신 Microsoft Outlook의 합법적인 MAPI(Messaging Application Programming Interface)를 조작하고 이를 통해 의도한 대상의 다이렉트 메시지에 액세스합니다. 일반적으로 가해자의 명령 및 제어 서버를 통해 명령을 수신하는 대부분의 백도어와 달리 Turla 백도어는 2016년 Turla APT가 도입한 개선 사항 덕분에 특수 제작된 이메일을 통해 제어됩니다. Turla 백도어는 다음 중 많은 명령을 수행할 수 있습니다. 데이터를 수집하고 다양한 파일을 다운로드 및 실행하는 역할을 합니다. 이 백도어는 설치 위치와 관련하여 너무 까다롭지 않습니다. Turla 백도어는 DLL 모듈(Dynamic Link Library)의 형태로 하드 드라이브 내 어디에서나 실행할 수 있습니다. 또한 Turla APT는 Windows 유틸리티(RegSvr32.exe)를 사용하여 대상 시스템에 백도어를 설치합니다.

물론, 이 구경의 모든 고효율 위협과 마찬가지로 Turla Backdoor도 뛰어난 지속성을 갖추고 있습니다. 탐지 가능성을 최소화하기 위해 Turla Backdoor는 항상 '임무'를 수행하지 않습니다. 대신 Component Object Model(COM)과 관련하여 잘 알려진 Windows 취약점을 사용합니다. 이 취약점을 악용하여 백도어가 해당 인스턴스를 합법적인 'outlook.exe' 프로세스에 주입할 수 있으므로 DLL을 사용할 필요가 없습니다. 주입 – 안티바이러스 제품이 쉽게 탐지하는 공격 벡터입니다.

Turla Backdoor는 Microsoft Outlook에 침투하여 이메일 제목, 첨부 파일 이름, 보낸 사람 및 받는 사람과 같은 피해자의 메시징 활동에 대한 메타데이터를 수집할 수 있습니다. 이 데이터는 Turla Backdoor에 의해 수집 및 저장되며 주기적으로 공격자의 서버로 전송됩니다. Turla 백도어와 같은 위협은 특히 공격자가 민감한 데이터나 통신을 저장하는 데 사용되는 시스템을 감염시킬 수 있고 Turla APT가 정확히 이러한 사용자를 대상으로 하는 경우에 많은 피해를 줄 수 있습니다.

데이터 도난 외에도 멀웨어는 추가 파일을 다운로드하거나 손상된 PowerShell 스크립트를 실행하도록 명령할 수 있습니다. 결론적으로 Turla Backdoor는 기능면에서 루트킷에 가까운 위협입니다.

트렌드

가장 많이 본

로드 중...