Turla APT

टुर्ला, जसलाई पेन्सिभ उर्सा, उरोबुरोस, र स्नेक पनि भनिन्छ, रुसबाट उत्पत्ति भएको एक परिष्कृत उन्नत पर्सिस्टेन्ट थ्रेट (एपीटी) को प्रतिनिधित्व गर्दछ, जसको इतिहास कम्तिमा 2004 को हो र रूसी संघीय सुरक्षा सेवा (FSB) सँग कथित सम्बन्ध छ। यसको लक्षित घुसपैठ र अत्याधुनिक स्टिल्थ रणनीतिहरूको लागि प्रख्यात, टुर्लाले गुप्त र लुकेर साइबर आक्रमणहरूको अर्केस्ट्रेटिङमा असाधारण प्राविधिक कौशल प्रदर्शन गर्दै एक शक्तिशाली र मायावी विरोधीको रूपमा ख्याति कमाएको छ।

वर्षौंदेखि, टुर्लाले सरकारी एजेन्सीहरू, कूटनीतिक नियोगहरू, सैन्य प्रतिष्ठानहरू, साथै शैक्षिक, अनुसन्धान र औषधि संस्थानहरू जस्ता विभिन्न क्षेत्रहरूमा घुसपैठ गर्दै 45 भन्दा बढी देशहरूमा आफ्नो पहुँच विस्तार गरेको छ। थप रूपमा, यो समूह फेब्रुअरी 2022 मा सुरु भएको रसिया-युक्रेन द्वन्द्वसँग सम्बन्धित गतिविधिहरूमा संलग्न भएको छ, युक्रेन CERT को रिपोर्टहरू अनुसार, युक्रेनी रक्षा हितहरूमा निर्देशित जासुसी कार्यहरू संकेत गर्दछ।

यद्यपि टुर्लाले मुख्य रूपमा विन्डोज-आधारित प्रणालीहरूमा यसको जासुसी प्रयासहरू केन्द्रित गरे पनि, यसले macOS र लिनक्स प्लेटफर्महरूलाई लक्षित गर्ने क्षमताहरू प्रदर्शन गरेको छ। अथक विकासको माध्यमबाट, टुर्लाले क्यापिबार, काजुआर, स्नेक , कोपिलुवाक , क्विएटकानारी/टुनस, क्रच , कम्र्याट , कार्बन र हाइपरस्ट्याक र टिनीटुर्ला सहित तर सीमित नभएका मालवेयर उपकरणहरूको एक शक्तिशाली शस्त्रागार जम्मा गरेको छ, जुन विभिन्न धम्कीपूर्ण अभियानमा सक्रिय छन्। ।

टुर्लाले लिनक्स प्रणालीहरूलाई लक्षित गर्न थाल्छ

२०१४ सम्ममा, टुर्ला साइबर ल्यान्डस्केपमा धेरै वर्षदेखि काम गरिरहेको थियो, तैपनि यसको संक्रमणको विधि रहस्य नै रह्यो। सोही वर्षमा गरिएको अनुसन्धानले एपिक टुर्ला डब गरिएको परिष्कृत बहु-चरण आक्रमणमा प्रकाश पार्छ, जसले तुर्लाको एपिक मालवेयर परिवारको उपयोगको अनावरण गर्दछ। यो अभियानले CVE-2013-5065 र CVE-2013-3346 को कमजोरीहरूको शोषण गर्‍यो, Adobe PDF शोषणको साथमा जाभा शोषण (CVE-2012-1723) लाई रोजगारी गर्ने वाटरिङ-होल प्रविधिहरूसँग सशस्त्र स्पियर-फिसिङ इमेलहरूको फाइदा उठाउँदै।

यस अभियानको एउटा उल्लेखनीय पक्ष भनेको टुर्लाले कार्बन/कोब्रा जस्ता उन्नत ब्याकडोरहरू प्रयोग गर्नु थियो, कहिलेकाहीं दुवैलाई फेलओभर मेकानिजमको रूपमा प्रयोग गर्दै।

पहिले टुर्ला अपरेशनहरूले मुख्य रूपमा विन्डोज प्रणालीहरूलाई लक्षित गर्‍यो, तर अगस्ट 2014 मा, ल्यान्डस्केप बदलियो किनकि टुर्लाले पहिलो पटक लिनक्स क्षेत्रमा प्रवेश गरे। पेन्गुइन टुर्ला भनेर चिनिने, यस पहलले समूहले लिनक्स टुर्ला मोड्युललाई प्रयोग गरेको देख्यो जसमा C/C++ कार्यान्वयनयोग्य एकिकृत रूपमा धेरै पुस्तकालयहरू विरुद्ध लिङ्क गरिएको छ, यस विशेष कार्यको लागि यसको फाइल आकार उल्लेखनीय रूपमा बढेको छ।

टुर्लाले यसको आक्रमण सञ्चालनमा नयाँ मालवेयर खतराहरू प्रस्तुत गर्दछ

2016 मा, वाटरबग भनेर चिनिने समूह, कथित रूपमा राज्य-प्रायोजित संस्था, Trojan.Turla र Trojan.Wipbot को भेरियन्टहरू प्रयोग गरी शून्य-दिनको जोखिमको शोषण गर्न, विशेष गरी Windows Kernel NDProxy.sys स्थानीय विशेषाधिकार एस्केलेसन भेल्नेबिलिटी (CV23) लाई लक्षित गर्दै। -5065)। अनुसन्धान निष्कर्षहरूका अनुसार, आक्रमणकारीहरूले सावधानीपूर्वक बनाइएका इमेलहरू प्रयोग गरे जसमा असुरक्षित संलग्नकहरू समावेश छन् तिनीहरूको नराम्रो पेलोडहरू डेलिभर गर्न सम्झौता वेबसाइटहरूको नेटवर्कको साथ।

अर्को वर्ष, शोधकर्ताहरूले टुर्ला मालवेयरको उन्नत पुनरावृत्ति पत्ता लगाए - दोस्रो चरणको ब्याकडोर कार्बनको रूपमा चिनिन्छ। कार्बन आक्रमणको प्रारम्भमा सामान्यतया पीडितले भाला-फिसिङ इमेल प्राप्त गर्ने वा सम्झौता गरिएको वेबसाइटमा ठोकर खानु समावेश हुन्छ, जसलाई बोलचालमा पानीको प्वाल भनिन्छ।

पछि, Tavdig वा Skipper जस्तै पहिलो चरणको ब्याकडोर स्थापना गरिएको छ। जासुसी गतिविधिहरू पूरा भएपछि, कार्बन फ्रेमवर्कले महत्वपूर्ण प्रणालीहरूमा यसको दोस्रो-चरण ब्याकडोर स्थापना गर्ने कार्य गर्दछ। यस ढाँचामा यसको कन्फिगरेसन फाइल स्थापना गर्न जिम्मेवार ड्रपर, कमाण्ड र कन्ट्रोल (C&C) सर्भरसँग अन्तर्क्रिया गर्नको लागि एक सञ्चार घटक, नेटवर्क भित्र कार्यहरू र पार्श्व आन्दोलनहरू प्रबन्ध गर्नका लागि एक अर्केस्ट्रेटर, र अर्केस्ट्रेटरलाई कार्यान्वयन गर्न लोडर समावेश गर्दछ।

टुर्लाको काजुआर ब्याकडोर दृश्यमा प्रवेश गर्दछ

मे २०१७ मा, साइबरसुरक्षा अनुसन्धानकर्ताहरूले भर्खरै पत्ता लागेको ब्याकडोर ट्रोजन, काजुआरलाई टुर्ला समूहसँग जोडेका थिए। माइक्रोसफ्ट .NET फ्रेमवर्क प्रयोग गरेर विकास गरिएको, Kazuar ले टाढाबाट अतिरिक्त प्लग-इनहरू लोड गर्न सक्षम उच्च कार्यात्मक कमाण्ड सेटहरूको गर्व गर्दछ।

Kazuar प्रणाली र मालवेयर फाइल नाम जानकारी जम्मा गरेर, एकल कार्यान्वयन सुनिश्चित गर्न म्युटेक्स स्थापना गरेर र Windows स्टार्टअप फोल्डरमा LNK फाइल थपेर सञ्चालन गर्दछ।

कजुआर भित्र सेट गरिएको आदेशले अन्य ब्याकडोर ट्रोजनहरूमा पाइनेहरूसँग समानता देखाउँछ। उदाहरणका लागि, टास्कलिस्ट कमाण्डले Windows बाट चलिरहेको प्रक्रियाहरू पुन: प्राप्त गर्न Windows म्यानेजमेन्ट इन्स्ट्रुमेन्टेसन (WMI) क्वेरी प्रयोग गर्दछ, जबकि जानकारी आदेशले खुला विन्डोहरूमा डेटा सङ्कलन गर्दछ। यसबाहेक, Kazuar को cmd कमाण्डले Windows प्रणालीहरूको लागि cmd.exe र Unix प्रणालीहरूको लागि /bin/bash प्रयोग गरी आदेशहरू कार्यान्वयन गर्छ, जसले यसको डिजाइनलाई Windows र Unix दुवै वातावरणलाई लक्षित गर्ने क्रस-प्लेटफर्म मालवेयरको रूपमा संकेत गर्छ।

२०२१ को सुरुमा थप अनुसन्धानले सनबर्स्ट र काजुआर ब्याकडोरहरू बीचको उल्लेखनीय समानताहरू अनावरण गर्‍यो।

2017 मा हुने थप टुर्ला आक्रमण अभियानहरू

Turla ले C++ मा कोड गरिएको Gazer नामक नयाँ दोस्रो चरणको ब्याकडोर प्रस्तुत गर्‍यो, जसले पिडितहरूलाई ठ्याक्कै लक्षित गर्न वाटरिङ-होल आक्रमणहरू र भाला-फिशिङ अभियानहरू प्रयोग गर्यो।

यसको परिष्कृत स्टिल्थ क्षमताहरूको अतिरिक्त, गेजरले कार्बन र काजुआर जस्ता पहिले कार्यरत दोस्रो-चरण ब्याकडोरहरूसँग धेरै समानताहरू प्रदर्शन गर्‍यो। यस अभियानको एक उल्लेखनीय विशेषता कोड भित्र 'भिडियो-गेम-सम्बन्धित' वाक्यहरूको एकीकरण थियो। टुर्लाले 3DES र RSA एन्क्रिप्शनको लागि यसको स्वामित्व पुस्तकालयसँग इन्क्रिप्ट गरेर Gazer को कमाण्ड र कन्ट्रोल (C&C) सर्भर सुरक्षित गर्यो।

टुर्लाले अन्य साइबर क्राइम समूहहरूबाट धम्की र पूर्वाधार समावेश गर्दछ

2018 मा, एउटा खुफिया रिपोर्टले संकेत गर्‍यो कि टुर्लाले नयाँ विकसित हानिकारक उपकरणहरू, स्नेक रुटकिटको साथसाथै, विन्डोज मेसिनहरूलाई लक्षित गर्न, मेल र वेब सर्भरहरूमा विशेष ध्यान दिएर, न्यूरोन र नॉटिलस प्रयोग गर्यो। टुर्लाले एन्क्रिप्टेड HTTP कुकी मानहरू मार्फत आदेशहरू पठाउँदै, ASPX शेलहरूको लागि स्क्यान गर्न सम्झौता गरिएका सर्प पीडितहरूलाई प्रयोग गर्यो। Turla ले ASPX शेलहरू थप उपकरणहरूको प्रयोगको लागि लक्षित प्रणालीहरूमा प्रारम्भिक पहुँच स्थापना गर्न प्रयोग गर्यो।

2018 मा फेरि, टुर्लाले युरोपेली सरकारहरूको विदेशी कार्यालयहरूमा आफ्नो नजर राख्यो, पछाडिको ढोकाबाट अत्यधिक संवेदनशील जानकारी घुसाउने लक्ष्य राख्दै। यो अभियानले माइक्रोसफ्ट आउटलुक र द ब्याटलाई लक्षित गर्‍यो, पूर्वी यूरोपमा व्यापक रूपमा प्रयोग हुने मेल क्लाइन्ट, सबै बाहिर जाने इमेलहरू आक्रमणकारीहरूलाई रिडिरेक्ट गर्दै। ब्याकडोरले डेटा निकाल्न इमेल सन्देशहरू प्रयोग गर्‍यो, विशेष रूपमा क्राफ्ट गरिएको पीडीएफ कागजातहरू प्रयोग गरी र इमेल सन्देशहरूलाई यसको कमाण्ड र कन्ट्रोल (C&C) सर्भरको लागि कन्ड्युटको रूपमा प्रयोग गर्‍यो।

2019 मा, Turla अपरेटरहरूले OilRig को पूर्वाधारको शोषण गरे, इरानसँग सम्बन्धित APT समूह जुन मध्य पूर्वमा सरकारी संस्था र संगठनहरूलाई लक्षित गर्नका लागि परिचित छ, तिनीहरूको आफ्नै आक्रमण सञ्चालन गर्न। यो अभियानले धेरै नयाँ ब्याकडोरहरू प्रस्तुत गर्ने उपकरणहरूको नयाँ एर्रेसँगै Mimikatz उपकरणको भारी परिमार्जित, अनुकूलन संस्करणको तैनाती समावेश गरेको थियो। अभियानको पछिल्ला चरणहरूमा, Turla समूहले powershell.exe मा भर नपरिकन PowerShell स्क्रिप्टहरू कार्यान्वयन गर्न सार्वजनिक रूपमा पहुँचयोग्य PowerShell रनर उपकरणबाट कोड समावेश गर्दै, एउटा छुट्टै रिमोट प्रोसिजर कल (RPC) ब्याकडोर प्रयोग गर्‍यो।

नयाँ ब्याकडोर थ्रेटहरू २०२० भरि जारी गरियो

मार्च २०२० मा, सुरक्षा विश्लेषकहरूले टुर्लाले धेरै आर्मेनियाली वेबसाइटहरूलाई लक्षित गर्न वाटरिङ-होल आक्रमणहरू प्रयोग गरेको देखे। यी वेबसाइटहरूलाई भ्रष्ट JavaScript कोडको साथ इन्जेक्ट गरिएको थियो, यद्यपि आक्रमणहरूमा प्रयोग गरिएको पहुँचको सटीक विधिहरू अज्ञात रहन्छन्।

पछि, सम्झौता गरिएका वेब पृष्ठहरूले पीडित ब्राउजरहरू पहिचान गर्न र तिनीहरूलाई खराब फ्ल्यास स्थापनाकर्ता स्थापना गर्नको लागि दोस्रो चरणको सम्झौता गरिएको जाभास्क्रिप्ट कोड वितरण गरे। Turla त्यसपछि NetFlash , एक .NET डाउनलोडर, र PyFlash यसको माध्यमिक मालवेयर परिनियोजनको लागि लाभ उठायो।

केहि महिना पछि, टुर्लाले ComRAT v4 , उर्फ Agent.BTZ लाई रिमोट एक्सेस ट्रोजन (RAT) को रूपमा काम गर्यो। C++ प्रयोग गरेर बनाइएको यो मालवेयरले संवेदनशील कागजातहरू बाहिर निकाल्नको लागि बारम्बार प्रयोग हुने भर्चुअल FAT16 फाइल प्रणालीको सुविधा दिन्छ। HTTP र इमेललाई कमाण्ड एण्ड कन्ट्रोल (C&C) च्यानलहरूको रूपमा प्रयोग गर्दा PowerStallion PowerShell ब्याकडोर जस्ता स्थापित पहुँच मार्गहरू मार्फत यसलाई प्रसारित गरिन्छ।

२०२० को अन्त्यतिर, साइबरसुरक्षा विशेषज्ञहरूले टुर्ला समूहलाई श्रेय दिईएको क्रच नामको कागजात नभएको ब्याकडोर र कागजात एक्स्ट्रक्टरमा ठोकर खाए। क्रचको अघिल्लो संस्करणहरूमा आधिकारिक HTTP API मार्फत पूर्व-निर्धारित ड्रपबक्स खातासँग ब्याकडोर सञ्चार समावेश थियो।

यस ब्याकडोरसँग गुगल क्रोम, मोजिला फायरफक्स वा माइक्रोसफ्ट वनड्राइभमा DLL अपहरण मार्फत फाइल हेरफेर, प्रक्रिया कार्यान्वयन, र दृढता स्थापना सम्बन्धी आदेशहरू कार्यान्वयन गर्ने क्षमताहरू छन्। उल्लेखनीय रूपमा, Crutch v4 ले ड्रपबक्स भण्डारणमा स्थानीय र हटाउन सकिने ड्राइभ फाइलहरू अपलोड गर्न स्वचालित सुविधाको गर्व गर्दछ, Wget उपयोगिताको विन्डोज संस्करणद्वारा सहजीकरण गरिएको, ब्याकडोर आदेशहरूमा निर्भर अघिल्लो पुनरावृत्तिहरूको विपरीत।

Turla APT समूहले TinyTurla मालवेयर खोल्छ र युक्रेनमा सम्पत्तिहरू लक्षित गर्न थाल्छ

TinyTurla ब्याकडोरको उदय 2021 मा ध्यानमा आयो। यो खतरा सम्भवतः एक आकस्मिक योजनाको रूपमा काम गर्दछ, प्राथमिक मालवेयर हटाउने घटनामा पनि प्रणालीहरूमा दिगो पहुँच सक्षम पार्दै। यो ब्याकडोरको स्थापना ब्याच फाइल मार्फत सहज हुन्छ र विन्डोज प्लेटफर्महरूमा वैध w32time.dll फाइलको नक्कल गर्ने लक्ष्य राखेर w64time.dll नामक सेवा DLL को रूपमा प्रकट हुन्छ।

युक्रेनमा रूसी आक्रमणको बीचमा, टुर्ला एपीटीले द्वन्द्वमा रूसको हितसँग मिल्ने लक्ष्यहरूमा आफ्नो ध्यान केन्द्रित गर्यो। जुलाई 2023 मा युक्रेनको कम्प्युटर आपत्कालीन प्रतिक्रिया टोली (CERT-UA) बाट एउटा घोषणाले युक्रेनी रक्षा सम्पत्तिहरूलाई लक्षित गर्ने जासुसी गतिविधिहरूको लागि क्यापिबार मालवेयर र काजुआर ब्याकडोरको प्रयोगको खुलासा गर्‍यो। यस अपरेसनमा, क्यापिबारलाई खुफिया जानकारी सङ्कलनका लागि प्रयोग गरिएको थियो जबकि काजुआरले प्रमाणपत्र चोरीमा विशेषज्ञ थिए। आक्रमणले मुख्यतया फिसिङ अभियान मार्फत कूटनीतिक र सैन्य संस्थाहरूलाई लक्षित गरेको थियो।

TinyTurla-NG र Pelmeni र्यापरको उद्भव

2023 को अन्त्यतिर, टुर्ला खतरा अभिनेताले तीन महिनाको अभियानमा TinyTurla-NG नामक नयाँ ब्याकडोर प्रयोग गरेको देखियो। आक्रमण अपरेशनले विशेष गरी पोल्याण्डका गैर-सरकारी संस्थाहरूलाई लक्षित गरेको थियो। यसको पूर्ववर्ती जस्तै, TinyTurla-NG कम्प्याक्ट 'अन्तिम रिसोर्ट' ब्याकडोरको रूपमा कार्य गर्दछ। सम्झौता गरिएका प्रणालीहरूमा अन्य सबै अनाधिकृत पहुँच वा ब्याकडोर मेकानिजमहरू असफल वा पत्ता नलाग्दासम्म यसलाई निष्क्रिय रहन रणनीतिक रूपमा प्रयोग गरिन्छ।

फेब्रुअरी 2024 मा, साइबरसुरक्षा विश्लेषकहरूले नयाँ टुर्ला अभियान पत्ता लगाए जसले नवीन रणनीतिहरू र काजुआर ट्रोजनको परिमार्जित संस्करण देखाउँछन्। यस विशेष आक्रमण अपरेसनमा, काजुआर धम्की लक्षित पीडितहरूलाई पेल्मेनी नामको पहिलेको कागजात नभएको र्यापर मार्फत वितरण गरिएको थियो।

Turla APT विस्तृत हमला सञ्चालनको वर्षको बावजुद एक प्रमुख साइबर थ्रेट बनेको छ

टुर्ला समूह एक निरन्तर र स्थायी विरोधीको रूपमा खडा छ, गतिविधिहरूको लामो ट्र्याक रेकर्डको घमण्ड गर्दै। तिनीहरूको उत्पत्ति, कार्यनीति, र लक्ष्यहरूको छनोटले दक्ष अपरेटिभहरूको नेतृत्वमा राम्रोसँग रिसोर्स गरिएको अपरेशनको सुझाव दिन्छ। वर्षौंको दौडान, टुर्लाले निरन्तर परिष्करणको लागि प्रतिबद्धतालाई सङ्केत गर्दै आफ्ना उपकरणहरू र विधिहरूलाई निरन्तर रूपमा बढाएको छ।

टुर्ला जस्ता समूहहरूले निम्त्याएको खतराले संगठनहरू र सरकारहरूलाई सतर्कता कायम राख्न अनिवार्यतालाई जोड दिन्छ। यसले विकासको नजिक रहन, खुफिया आदानप्रदान, र बलियो सुरक्षा उपायहरू लागू गर्न समावेश गर्दछ। त्यस्ता सक्रिय कदमहरूले समूह र व्यक्ति दुवैलाई त्यस्ता कलाकारहरूद्वारा निम्त्याउने खतराहरू विरुद्ध आफ्नो सुरक्षालाई बलियो बनाउन सक्षम बनाउँछ।