Turla APT

Turla, også kjent som Pensive Ursa, Uroburos og Snake, representerer en sofistikert Advanced Persistent Threat (APT) som kommer fra Russland, med en historie som går tilbake til minst 2004 og påståtte bånd til den russiske føderale sikkerhetstjenesten (FSB). Turla er kjent for sine målrettede inntrengninger og banebrytende stealth-taktikker, og har opparbeidet seg et rykte som en formidabel og unnvikende motstander, som viser eksepsjonell teknisk dyktighet i å orkestrere hemmelige og snikende cyberangrep.

I løpet av årene har Turla utvidet sin rekkevidde over mer enn 45 land, og infiltrert et mangfold av sektorer som offentlige etater, diplomatiske oppdrag, militære institusjoner, samt utdannings-, forsknings- og farmasøytiske institusjoner. I tillegg har gruppen vært involvert i aktiviteter knyttet til konflikten mellom Russland og Ukraina som brøt ut i februar 2022, ifølge rapporter fra Ukrainas CERT, som indikerer spionasjeoperasjoner rettet mot ukrainske forsvarsinteresser.

Selv om Turla hovedsakelig fokuserte spionasjeinnsatsen på Windows-baserte systemer, har den demonstrert evner til å målrette mot macOS- og Linux-plattformer. Gjennom nådeløs utvikling har Turla samlet et formidabelt arsenal av skadevareverktøy, inkludert, men ikke begrenset til, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon og HyperStack og TinyTurla , som har vært aktivt brukt i forskjellige truende kampanjer. .

Turla begynner å målrette Linux-systemer

I 2014 hadde Turla allerede operert i cyberlandskapet i flere år, men metoden for infeksjonen forble et mysterium. Forskning utført samme år kastet lys over et sofistikert flertrinnsangrep kalt Epic Turla, og avslører Turlas bruk av Epic malware-familien. Denne kampanjen utnyttet sårbarhetene CVE-2013-5065 og CVE-2013-3346, og utnyttet spyd-phishing-e-poster bevæpnet med Adobe PDF-utnyttelser sammen med vannhullsteknikker som bruker Java-utnyttelser (CVE-2012-1723).

Et bemerkelsesverdig aspekt ved denne kampanjen var Turlas utplassering av avanserte bakdører som Carbon/Cobra, noen ganger ved å bruke begge som en failover-mekanisme.

Tidligere Turla-operasjoner var hovedsakelig rettet mot Windows-systemer, men i august 2014 endret landskapet seg da Turla våget seg inn i Linux-territoriet for første gang. Dette initiativet, kjent som Penguin Turla, fikk gruppen til å bruke en Linux Turla-modul med en kjørbar C/C++ statisk koblet mot flere biblioteker, noe som økte filstørrelsen betydelig for denne operasjonen.

Turla introduserer nye trusler mot skadelig programvare i sine angrepsoperasjoner

I 2016 brukte en gruppe kjent som Waterbug, angivelig en statsstøttet enhet, varianter av Trojan.Turla og Trojan.Wipbot for å utnytte en nulldagers sårbarhet, spesifikt rettet mot Windows Kernel NDProxy.sys lokale privilegieeskaleringssårbarhet (CVE-2013) -5065). I følge forskningsfunn brukte angriperne omhyggelig utformede e-poster som inneholdt usikre vedlegg sammen med et nettverk av kompromitterte nettsteder for å levere sine uhyggelige nyttelaster.

Året etter avdekket forskere en avansert iterasjon av Turla malware - en andre-trinns bakdør identifisert som Carbon. Initiering av et karbonangrep innebærer vanligvis at offeret enten mottar en spyd-phishing-e-post eller snubler over et kompromittert nettsted, i daglig tale kjent som et vannhull.

Deretter installeres en første-trinns bakdør som Tavdig eller Skipper . Etter fullføring av rekognoseringsaktiviteter, orkestrerer Carbon-rammeverket installasjonen av sin andretrinns bakdør på kritiske systemer. Dette rammeverket omfatter en dropper som er ansvarlig for å installere konfigurasjonsfilen, en kommunikasjonskomponent for å samhandle med Command and Control (C&C)-serveren, en orkestrator for å administrere oppgaver og sideveis bevegelse i nettverket, og en laster for å utføre orkestratoren.

Turlas Kazuar-bakdør kommer inn på scenen

I mai 2017 koblet cybersikkerhetsforskere en nyoppdaget bakdørstrojaner, Kazuar, til Turla-gruppen. Kazuar er utviklet ved hjelp av Microsoft .NET Framework, og har svært funksjonelle kommandosett som er i stand til å eksternt laste inn ekstra plug-ins.

Kazuar opererer ved å samle system- og skadevarefilnavninformasjon, etablere en mutex for å sikre singular kjøring og legge til en LNK-fil til Windows-oppstartsmappen.

Kommandosettene i Kazuar viser likheter med de som finnes i andre bakdørstrojanere. Tasklist-kommandoen bruker for eksempel en Windows Management Instrumentation-spørring (WMI) for å hente kjørende prosesser fra Windows, mens info-kommandoen samler inn data på åpne vinduer. Dessuten utfører Kazuars cmd-kommando kommandoer ved å bruke cmd.exe for Windows-systemer og /bin/bash for Unix-systemer, noe som indikerer designen som en skadelig programvare på tvers av plattformer rettet mot både Windows- og Unix-miljøer.

Ytterligere forskning tidlig i 2021 avslørte bemerkelsesverdige paralleller mellom Sunburst- og Kazuar-bakdørene.

Flere Turla-angrepskampanjer finner sted i 2017

Turla introduserte en ny bakdør i andre trinn kalt Gazer, kodet i C++, og utnyttet vannhullsangrep og spyd-phishing-kampanjer for å målrette ofrene nøyaktig.

I tillegg til sine forbedrede stealth-evner, viste Gazer mange likheter med tidligere brukte andretrinns bakdører som Carbon og Kazuar. Et bemerkelsesverdig trekk ved denne kampanjen var integreringen av 'videospillrelaterte' setninger i koden. Turla sikret Gazers Command and Control (C&C)-server ved å kryptere den med sitt proprietære bibliotek for 3DES- og RSA-kryptering.

Turla inkorporerer trusler og infrastruktur fra andre nettkriminalitetsgrupper

I 2018 indikerte en etterretningsrapport at Turla brukte nyutviklede skadelige verktøy, Neuron og Nautilus , sammen med Snake Rootkit , for å målrette Windows-maskiner, med et spesielt fokus på e-post og webservere. Turla brukte kompromitterte Snake-ofre til å skanne etter ASPX-skall, og sendte kommandoer via krypterte HTTP-informasjonskapselverdier. Turla utnyttet ASPX-skall for å etablere første tilgang til målsystemer for utrulling av tilleggsverktøy.

Igjen i 2018 rettet Turla blikket mot utenrikskontorene til europeiske myndigheter, med mål om å infiltrere svært sensitiv informasjon gjennom en bakdør. Denne kampanjen var rettet mot Microsoft Outlook og The Bat!, en mye brukt e-postklient i Øst-Europa, og omdirigerte all utgående e-post til angriperne. Bakdøren brukte e-postmeldinger for å trekke ut data, ved å bruke spesiallagde PDF-dokumenter og e-postmeldinger som en kanal for Command and Control-serveren (C&C).

I 2019 utnyttet Turla-operatører infrastrukturen til OilRig, en APT-gruppe assosiert med Iran kjent for å målrette statlige enheter og organisasjoner i Midtøsten, for å gjennomføre sine egne angrepsoperasjoner. Denne kampanjen innebar distribusjon av en sterkt modifisert, tilpasset variant av Mimikatz- verktøyet sammen med en ny rekke verktøy med flere nye bakdører. I de senere fasene av kampanjen brukte Turla-gruppen en distinkt Remote Procedure Call (RPC) bakdør, som inkorporerte kode fra det offentlig tilgjengelige PowerShell Runner-verktøyet for å kjøre PowerShell-skript uten å stole på powershell.exe.

Nye bakdørstrusler utgitt i løpet av 2020

I mars 2020 observerte sikkerhetsanalytikere at Turla brukte vannhullsangrep for å målrette en rekke armenske nettsteder. Disse nettstedene ble injisert med ødelagt JavaScript-kode, selv om de nøyaktige tilgangsmetodene som ble brukt i angrepene forblir ukjente.

Deretter distribuerte de kompromitterte nettsidene andre trinns kompromittert JavaScript-kode for å identifisere ofrenes nettlesere og lokke dem til å installere et dårlig Flash-installasjonsprogram. Turla utnyttet deretter NetFlash , en .NET-nedlaster, og PyFlash for sin sekundære distribusjon av skadelig programvare.

Noen måneder senere brukte Turla ComRAT v4 , alias Agent.BTZ, som en Remote Access Trojan (RAT). Denne skadelige programvaren, laget med C++, har et virtuelt FAT16-filsystem som ofte brukes til å eksfiltrere sensitive dokumenter. Den spres gjennom etablerte tilgangsruter som PowerStallion PowerShell-bakdøren mens den benytter HTTP og e-post som Command and Control (C&C) kanaler.

Mot slutten av 2020 snublet cybersikkerhetseksperter over en udokumentert bakdør og dokumentuttrekker kalt Crutch , tilskrevet Turla-gruppen. Tidligere versjoner av Crutch inkluderte en bakdør som kommuniserte med en forhåndsbestemt Dropbox-konto via den offisielle HTTP API.

Denne bakdøren hadde evner til å utføre kommandoer relatert til filmanipulering, prosesskjøring og etablering av utholdenhet gjennom DLL-kapring på Google Chrome, Mozilla Firefox eller Microsoft OneDrive. Spesielt kan Crutch v4 skryte av en automatisert funksjon for å laste opp lokale og flyttbare stasjonsfiler til Dropbox-lagring, tilrettelagt av Windows-versjonen av Wget-verktøyet, i motsetning til tidligere iterasjoner som er avhengige av bakdørskommandoer.

Turla APT Group slipper løs TinyTurla Malware og begynner å målrette aktiva i Ukraina

Fremveksten av TinyTurla-bakdøren ble kjent i 2021. Denne trusselen fungerer sannsynligvis som en beredskapsplan, som muliggjør vedvarende tilgang til systemer selv i tilfelle primær fjerning av skadelig programvare. Installasjon av denne bakdøren forenkles gjennom en batch-fil og manifesterer seg som en tjeneste-DLL kalt w64time.dll, som tar sikte på å etterligne den legitime w32time.dll-filen på Windows-plattformer.

Midt i den russiske invasjonen av Ukraina omdirigerte Turla APT sitt fokus mot mål i samsvar med Russlands interesser i konflikten. En kunngjøring fra Computer Emergency Response Team of Ukraine (CERT-UA) i juli 2023 avslørte Turlas bruk av Capibar-malwaren og Kazuar-bakdøren for spionasjeaktiviteter rettet mot ukrainske forsvarsmidler. I denne operasjonen ble Capibar ansatt for etterretningsinnhenting mens Kazuar spesialiserte seg på legitimasjonstyveri. Angrepet var hovedsakelig rettet mot diplomatiske og militære enheter gjennom phishing-kampanjer.

Fremveksten av TinyTurla-NG og Pelmeni Wrapper

Mot slutten av 2023 ble Turla-trusselsaktøren observert bruke en ny bakdør ved navn TinyTurla-NG i en kampanje som strekker seg over tre måneder. Angrepsoperasjonen var spesifikt rettet mot ikke-statlige organisasjoner i Polen. I likhet med forgjengeren fungerer TinyTurla-NG som en kompakt "siste utvei" bakdør. Den er strategisk distribuert for å forbli i dvale til all annen uautorisert tilgang eller bakdørsmekanismer på de kompromitterte systemene enten har sviktet eller blitt oppdaget.

I februar 2024 avdekket cybersikkerhetsanalytikere en fersk Turla-kampanje som viste frem innovative strategier og en modifisert variant av Kazuar-trojaneren. I denne spesielle angrepsoperasjonen ble Kazuar-trusselen distribuert til de målrettede ofrene gjennom en tidligere udokumentert innpakning ved navn Pelmeni .

Turla APT er fortsatt en stor cybertrussel til tross for flere år med detaljerte angrepsoperasjoner

Turla-gruppen står som en vedvarende og utholdende motstander, som kan skryte av en lang historie med aktiviteter. Deres opprinnelse, taktikk og valg av mål antyder en operasjon med gode ressurser ledet av dyktige operatører. Gjennom årene har Turla konsekvent forbedret sine verktøy og metoder, noe som indikerer en forpliktelse til kontinuerlig foredling.

Trusselen fra grupper som Turla understreker nødvendigheten av at organisasjoner og myndigheter opprettholder årvåkenhet. Dette innebærer å holde seg à jour med utviklingen, utveksle etterretninger og implementere robuste sikkerhetstiltak. Slike proaktive tiltak gjør det mulig for både grupper og enkeltpersoner å styrke forsvaret mot truslene fra slike aktører.