Turla APT
Pensive Ursa, Uroburos 및 Snake라고도 알려진 Turla는 러시아에서 시작된 정교한 APT(Advanced Persistant Threat)를 대표하며, 그 역사는 최소 2004년으로 거슬러 올라가며 러시아 연방 보안국(FSB)과 관련이 있는 것으로 알려져 있습니다. 표적화된 침입과 최첨단 스텔스 전술로 유명한 Turla는 은밀하고 은밀한 사이버 공격을 조율하는 데 뛰어난 기술적 능력을 보여주며 강력하고 포착하기 어려운 적으로 명성을 얻었습니다.
수년에 걸쳐 Turla는 정부 기관, 외교 사절단, 군사 시설은 물론 교육, 연구 및 제약 기관과 같은 다양한 부문에 침투하여 45개국 이상으로 범위를 확장했습니다. 또한 우크라이나 CERT의 보고서에 따르면 이 그룹은 2022년 2월에 발생한 러시아-우크라이나 분쟁과 관련된 활동에 연루되어 우크라이나 국방 이익을 겨냥한 간첩 활동을 나타냅니다.
Turla는 주로 Windows 기반 시스템에 대한 스파이 활동에 중점을 두었지만 macOS 및 Linux 플랫폼을 표적으로 삼는 기능도 입증했습니다. 끊임없는 개발을 통해 Turla는 다양한 위협 캠페인에 적극적으로 사용되는 Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon 및 HyperStack 및 TinyTurla를 포함하되 이에 국한되지 않는 강력한 악성 코드 도구를 축적했습니다. .
목차
Turla는 Linux 시스템을 대상으로 시작합니다.
2014년까지 Turla는 이미 몇 년 동안 사이버 환경에서 활동해 왔지만 감염 방법은 미스터리로 남아 있었습니다. 같은 해에 수행된 연구에서는 Epic Turla라고 불리는 정교한 다단계 공격이 밝혀졌으며 Turla가 Epic 맬웨어 계열을 활용한 사실이 밝혀졌습니다. 이 캠페인은 취약점 CVE-2013-5065 및 CVE-2013-3346을 악용했으며, Java 악용(CVE-2012-1723)을 사용하는 워터링 홀 기술과 함께 Adobe PDF 악용으로 무장한 스피어 피싱 이메일을 활용했습니다.
이 캠페인의 주목할만한 측면은 Turla가 Carbon/Cobra와 같은 고급 백도어를 배포했으며 때때로 두 가지를 모두 장애 조치 메커니즘으로 활용한다는 것입니다.
이전 Turla 운영은 주로 Windows 시스템을 대상으로 했지만 2014년 8월 Turla가 처음으로 Linux 영역에 진출하면서 환경이 바뀌었습니다. Penguin Turla로 알려진 이 이니셔티브에서는 그룹이 여러 라이브러리에 대해 정적으로 링크된 C/C++ 실행 파일을 갖춘 Linux Turla 모듈을 사용하여 이 특정 작업에 대한 파일 크기를 크게 늘렸습니다.
Turla, 공격 작업에 새로운 악성코드 위협 도입
2016년에 국가 후원 단체로 알려진 Waterbug라는 그룹은 Trojan.Turla 및 Trojan.Wipbot 의 변종을 사용하여 제로데이 취약점, 특히 Windows 커널 NDProxy.sys 로컬 권한 상승 취약점(CVE-2013)을 공격했습니다. -5065). 연구 결과에 따르면, 공격자들은 손상된 웹사이트 네트워크와 함께 안전하지 않은 첨부 파일이 포함된 정교하게 제작된 이메일을 활용하여 악의적인 페이로드를 전달했습니다.
다음 해, 연구원들은 Carbon으로 식별된 2단계 백도어인 Turla 악성 코드의 고급 버전을 발견했습니다. Carbon 공격의 시작은 일반적으로 피해자가 스피어 피싱 이메일을 받거나 구어적으로 워터링 홀이라고 알려진 손상된 웹 사이트를 우연히 발견하는 것과 관련됩니다.
이후 Tavdig나 Skipper 와 같은 1단계 백도어가 설치됩니다. 정찰 활동이 완료되면 Carbon 프레임워크는 중요 시스템에 2단계 백도어 설치를 조율합니다. 이 프레임워크는 구성 파일 설치를 담당하는 드로퍼, C&C(명령 및 제어) 서버와 상호 작용하는 통신 구성 요소, 네트워크 내 작업 및 측면 이동을 관리하는 오케스트레이터, 오케스트레이터 실행을 위한 로더로 구성됩니다.
Turla의 Kazuar 백도어가 현장에 등장
2017년 5월, 사이버 보안 연구원들은 새로 발견된 백도어 트로이 목마인 Kazuar를 Turla 그룹에 연결했습니다. Microsoft .NET Framework를 사용하여 개발된 Kazuar는 추가 플러그인을 원격으로 로드할 수 있는 뛰어난 기능의 명령 세트를 자랑합니다.
Kazuar는 시스템 및 악성 코드 파일 이름 정보를 수집하고, 단일 실행을 보장하기 위해 뮤텍스를 설정하고, Windows 시작 폴더에 LNK 파일을 추가하는 방식으로 작동합니다.
Kazuar 내의 명령 세트는 다른 백도어 트로이 목마에서 발견되는 것과 유사합니다. 예를 들어, tasklist 명령은 WMI(Windows Management Instrumentation) 쿼리를 활용하여 Windows에서 실행 중인 프로세스를 검색하는 반면, info 명령은 열려 있는 창에서 데이터를 수집합니다. 게다가 Kazuar의 cmd 명령은 Windows 시스템의 경우 cmd.exe, Unix 시스템의 경우 /bin/bash를 사용하여 명령을 실행하는데, 이는 이 악성 코드가 Windows와 Unix 환경을 모두 표적으로 삼는 크로스 플랫폼 악성 코드로 설계되었음을 나타냅니다.
2021년 초 추가 연구에서는 Sunburst 와 Kazuar 백도어 간의 주목할만한 유사점이 밝혀졌습니다.
2017년에는 더 많은 Turla 공격 캠페인이 진행됩니다.
Turla는 C++로 코딩된 Gazer 라는 새로운 2단계 백도어를 도입하여 워터링 홀 공격과 스피어 피싱 캠페인을 활용하여 피해자를 정확하게 표적으로 삼았습니다.
향상된 스텔스 기능 외에도 Gazer는 이전에 사용된 Carbon 및 Kazuar와 같은 2단계 백도어와 많은 유사점을 보였습니다. 이번 캠페인의 주목할만한 특징은 '비디오 게임 관련' 문장을 코드 내에 통합했다는 점입니다. Turla는 3DES 및 RSA 암호화를 위한 독점 라이브러리로 Gazer의 C&C(명령 및 제어) 서버를 암호화하여 보안을 유지했습니다.
Turla는 다른 사이버 범죄 그룹의 위협과 인프라를 통합합니다.
2018년 정보 보고서에 따르면 Turla는 Snake Rootkit 과 함께 새로 개발된 유해 도구인 Neuron 및 Nautilus를 사용하여 특히 메일 및 웹 서버에 중점을 두고 Windows 시스템을 표적으로 삼았습니다. Turla는 손상된 Snake 피해자를 활용하여 ASPX 셸을 검색하고 암호화된 HTTP 쿠키 값을 통해 명령을 전송했습니다. Turla는 ASPX 셸을 활용하여 추가 도구 배포를 위해 대상 시스템에 대한 초기 액세스를 설정했습니다.
2018년에도 Turla는 백도어를 통해 매우 민감한 정보에 침투하는 것을 목표로 유럽 정부의 해외 사무소를 목표로 삼았습니다. 이 캠페인은 Microsoft Outlook과 동유럽에서 널리 사용되는 메일 클라이언트인 The Bat!를 표적으로 삼아 모든 발신 이메일을 공격자에게 리디렉션했습니다. 백도어는 이메일 메시지를 활용하여 데이터를 추출하고, 특별히 제작된 PDF 문서를 사용하고, 이메일 메시지를 C&C(명령 및 제어) 서버의 전달 수단으로 활용했습니다.
2019년 Turla 운영자는 중동의 정부 기관 및 조직을 표적으로 삼는 것으로 알려진 이란과 관련된 APT 그룹인 OilRig의 인프라를 활용하여 자체 공격 작전을 수행했습니다. 이 캠페인에는 몇 가지 새로운 백도어를 특징으로 하는 새로운 도구 배열과 함께 크게 수정된 Mimikatz 도구의 사용자 정의 변형을 배포하는 작업이 포함되었습니다. 캠페인의 후반 단계에서 Turla 그룹은 공개적으로 액세스 가능한 PowerShell Runner 도구의 코드를 통합하여 powershell.exe에 의존하지 않고 PowerShell 스크립트를 실행하는 고유한 RPC(원격 프로시저 호출) 백도어를 활용했습니다.
2020년에 발표된 새로운 백도어 위협
2020년 3월, 보안 분석가들은 Turla가 수많은 아르메니아 웹사이트를 표적으로 삼기 위해 워터링 홀 공격을 사용하는 것을 목격했습니다. 이러한 웹사이트에는 손상된 JavaScript 코드가 주입되어 있지만, 공격에 활용된 정확한 액세스 방법은 아직 공개되지 않았습니다.
그 후, 손상된 웹 페이지는 2단계로 손상된 JavaScript 코드를 배포하여 피해자 브라우저를 식별하고 잘못된 Flash 설치 프로그램을 설치하도록 유도했습니다. 그런 다음 Turla는 .NET 다운로더인 NetFlash 와 PyFlash를 보조 악성코드 배포에 활용했습니다.
몇 달 후 Turla는 Agent.BTZ라는 별칭으로 ComRAT v4를 RAT(원격 액세스 트로이 목마)로 사용했습니다. C++를 사용하여 제작된 이 악성코드는 민감한 문서를 추출하는 데 자주 사용되는 가상 FAT16 파일 시스템을 특징으로 합니다. 이는 HTTP 및 이메일을 명령 및 제어(C&C) 채널로 사용하면서 PowerStallion PowerShell 백도어와 같은 확립된 액세스 경로를 통해 유포됩니다.
2020년 말, 사이버 보안 전문가들은 Turla 그룹의 것으로 추정되는 Crutch 라는 이름의 문서화되지 않은 백도어 및 문서 추출기를 우연히 발견했습니다. 이전 버전의 Crutch에는 공식 HTTP API를 통해 미리 결정된 Dropbox 계정과 통신하는 백도어가 포함되어 있었습니다.
이 백도어는 Google Chrome, Mozilla Firefox 또는 Microsoft OneDrive에서 DLL 하이재킹을 통해 파일 조작, 프로세스 실행 및 지속성 설정과 관련된 명령을 실행하는 기능을 보유했습니다. 특히 Crutch v4는 백도어 명령에 의존했던 이전 버전과 달리 Windows 버전의 Wget 유틸리티를 통해 로컬 및 이동식 드라이브 파일을 Dropbox 저장소에 업로드하는 자동화된 기능을 자랑합니다.
Turla APT 그룹, TinyTurla 악성 코드를 유포하고 우크라이나 자산을 표적으로 삼기 시작
TinyTurla 백도어의 출현은 2021년에 주목을 받았습니다. 이 위협은 주요 악성 코드가 제거되는 경우에도 시스템에 대한 지속적인 액세스를 가능하게 하는 비상 계획의 역할을 할 가능성이 높습니다. 이 백도어의 설치는 배치 파일을 통해 용이하게 이루어지며 Windows 플랫폼에서 합법적인 w32time.dll 파일을 모방하는 것을 목표로 하는 w64time.dll이라는 서비스 DLL로 나타납니다.
러시아의 우크라이나 침공 중에 Turla APT는 분쟁에 대한 러시아의 이해관계에 부합하는 목표로 초점을 전환했습니다. 2023년 7월 CERT-UA(우크라이나 컴퓨터 긴급 대응 팀)의 발표에서는 Turla가 우크라이나 국방 자산을 표적으로 하는 간첩 활동에 Capibar 악성코드와 Kazuar 백도어를 활용한 사실이 공개되었습니다. 이 작전에서 Capibar는 정보 수집을 위해 고용되었고 Kazuar는 자격 증명 도용을 전문으로 했습니다. 공격은 주로 피싱 캠페인을 통해 외교 및 군사 기관을 표적으로 삼았습니다.
TinyTurla-NG와 Pelmeni Wrapper의 출현
2023년 말경, Turla 위협 행위자는 3개월에 걸친 캠페인에서 TinyTurla-NG라는 새로운 백도어를 사용하는 것이 관찰되었습니다. 공격 작전은 특히 폴란드의 비정부 조직을 표적으로 삼았습니다. 이전 버전과 유사하게 TinyTurla-NG는 소형 '최후의 수단' 백도어 역할을 합니다. 손상된 시스템의 다른 모든 무단 액세스 또는 백도어 메커니즘이 실패하거나 발견될 때까지 휴면 상태를 유지하도록 전략적으로 배포됩니다.
2024년 2월, 사이버 보안 분석가들은 혁신적인 전략과 Kazuar 트로이 목마의 수정된 변종을 보여주는 새로운 Turla 캠페인을 발견했습니다. 이 특정 공격 작전에서 Kazuar 위협은 Pelmeni 라는 이전에 문서화되지 않은 래퍼를 통해 대상 피해자에게 배포되었습니다.
Turla APT는 수년간의 상세한 공격 작전에도 불구하고 여전히 주요 사이버 위협으로 남아 있습니다.
Turla 그룹은 오랜 활동 실적을 자랑하며 끈질기고 지속적인 적으로 자리잡고 있습니다. 이들의 기원, 전술, 표적 선택을 보면 숙련된 요원이 이끄는 자원이 풍부한 작전임을 알 수 있습니다. 수년에 걸쳐 Turla는 도구와 방법론을 지속적으로 향상시켜 지속적인 개선에 대한 의지를 나타냈습니다.
Turla와 같은 그룹이 가하는 위협은 조직과 정부가 경계를 유지해야 한다는 필요성을 강조합니다. 이를 위해서는 개발 상황을 파악하고, 정보를 교환하고, 강력한 보안 조치를 구현해야 합니다. 이러한 사전 조치를 통해 그룹과 개인 모두 해당 행위자가 제기하는 위협에 대한 방어력을 강화할 수 있습니다.
