Turla APT

Turla, ook bekend als Pensive Ursa, Uroburos en Snake, vertegenwoordigt een geavanceerde Advanced Persistent Threat (APT) afkomstig uit Rusland, met een geschiedenis die teruggaat tot minstens 2004 en vermeende banden met de Russische Federale Veiligheidsdienst (FSB). Turla staat bekend om zijn gerichte inbraken en geavanceerde stealth-tactieken en heeft een reputatie opgebouwd als een formidabele en ongrijpbare tegenstander, die uitzonderlijke technische bekwaamheid demonstreert bij het orkestreren van geheime en sluipende cyberaanvallen.

In de loop der jaren heeft Turla zijn bereik uitgebreid naar meer dan 45 landen en geïnfiltreerd in een breed scala aan sectoren, zoals overheidsinstanties, diplomatieke missies, militaire instellingen, maar ook onderwijs-, onderzoeks- en farmaceutische instellingen. Bovendien is de groep betrokken bij activiteiten die verband houden met het conflict tussen Rusland en Oekraïne dat in februari 2022 uitbrak, volgens rapporten van het Oekraïense CERT, waaruit blijkt dat er sprake is van spionageoperaties gericht op de Oekraïense defensiebelangen.

Hoewel Turla zijn spionage-inspanningen voornamelijk concentreerde op Windows-gebaseerde systemen, heeft het aangetoond dat het zich ook kan richten op macOS- en Linux-platforms. Door meedogenloze ontwikkeling heeft Turla een formidabel arsenaal aan malwaretools verzameld, waaronder maar niet beperkt tot Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon en HyperStack en TinyTurla , die actief zijn ingezet in verschillende bedreigende campagnes. .

Turla begint zich te richten op Linux-systemen

In 2014 was Turla al enkele jaren actief in het cyberlandschap, maar de methode van infectie bleef een mysterie. Onderzoek dat in hetzelfde jaar werd uitgevoerd, wierp licht op een geavanceerde meerfasige aanval genaamd Epic Turla, waarmee Turla's gebruik van de Epic-malwarefamilie werd onthuld. Deze campagne maakte misbruik van de kwetsbaarheden CVE-2013-5065 en CVE-2013-3346, waarbij gebruik werd gemaakt van spearphishing-e-mails gewapend met Adobe PDF-exploits naast watering-hole-technieken die gebruik maakten van Java-exploits (CVE-2012-1723).

Een opmerkelijk aspect van deze campagne was Turla's inzet van geavanceerde backdoors zoals Carbon/Cobra, waarbij beide af en toe als failover-mechanisme werden gebruikt.

Eerdere Turla-operaties waren voornamelijk gericht op Windows-systemen, maar in augustus 2014 veranderde het landschap toen Turla zich voor het eerst op Linux-territorium begaf. Bij dit initiatief, bekend als Penguin Turla, gebruikte de groep een Linux Turla-module met een uitvoerbaar bestand van C/C++ dat statisch gekoppeld was aan meerdere bibliotheken, waardoor de bestandsgrootte voor deze specifieke bewerking aanzienlijk werd vergroot.

Turla introduceert nieuwe malwarebedreigingen tijdens zijn aanvalsoperaties

In 2016 gebruikte een groep die bekend staat als Waterbug, naar verluidt een door de staat gesponsorde entiteit, varianten van Trojan.Turla en Trojan.Wipbot om een zero-day-kwetsbaarheid te misbruiken, specifiek gericht op de Windows Kernel NDProxy.sys kwetsbaarheid voor escalatie van lokale privileges (CVE-2013 -5065). Volgens onderzoeksresultaten gebruikten de aanvallers zorgvuldig vervaardigde e-mails met onveilige bijlagen naast een netwerk van gecompromitteerde websites om hun snode ladingen af te leveren.

Het jaar daarop ontdekten onderzoekers een geavanceerde versie van de Turla-malware: een achterdeur in de tweede fase, geïdentificeerd als Carbon. Het starten van een Carbon-aanval houdt doorgaans in dat het slachtoffer een spearphishing-e-mail ontvangt of op een gecompromitteerde website terechtkomt, in de volksmond bekend als een drinkplaats.

Vervolgens wordt een eerste trap achterdeur zoals Tavdig of Skipper geïnstalleerd. Na voltooiing van de verkenningsactiviteiten orkestreert het Carbon-framework de installatie van de tweede fase achterdeur op kritieke systemen. Dit raamwerk omvat een dropper die verantwoordelijk is voor het installeren van het configuratiebestand, een communicatiecomponent voor interactie met de Command and Control (C&C)-server, een orkestrator voor het beheren van taken en laterale verplaatsingen binnen het netwerk, en een lader voor het uitvoeren van de orkestrator.

Turla's Kazuar-achterdeur komt op het toneel

In mei 2017 koppelden cyberbeveiligingsonderzoekers een nieuw ontdekte achterdeurtrojan, Kazuar, aan de Turla-groep. Kazuar is ontwikkeld met behulp van het Microsoft .NET Framework en beschikt over zeer functionele commandosets die op afstand extra plug-ins kunnen laden.

Kazuar werkt door het verzamelen van systeem- en malwarebestandsnaaminformatie, het opzetten van een mutex om een unieke uitvoering te garanderen en het toevoegen van een LNK-bestand aan de opstartmap van Windows.

De commandosets binnen Kazuar vertonen overeenkomsten met die in andere achterdeur-trojans. Het takenlijstcommando maakt bijvoorbeeld gebruik van een Windows Management Instrumentation (WMI)-query om lopende processen uit Windows op te halen, terwijl het info-commando gegevens over geopende vensters verzamelt. Bovendien voert Kazuar's cmd-opdracht opdrachten uit met behulp van cmd.exe voor Windows-systemen en /bin/bash voor Unix-systemen, wat aangeeft dat het ontwerp ervan een platformonafhankelijke malware is die zich richt op zowel Windows- als Unix-omgevingen.

Verder onderzoek begin 2021 bracht opmerkelijke parallellen aan het licht tussen de Sunburst- en Kazuar-achterdeur.

Er vinden meer Turla-aanvalscampagnes plaats in 2017

Turla introduceerde een nieuwe achterdeur in de tweede fase , Gazer genaamd, gecodeerd in C++, waarbij gebruik wordt gemaakt van watering-hole-aanvallen en spear-phishing-campagnes om slachtoffers nauwkeurig te targeten.

Naast de verbeterde stealth-mogelijkheden vertoonde Gazer talloze overeenkomsten met eerder gebruikte tweedetraps achterdeurtjes zoals Carbon en Kazuar. Een opvallend kenmerk van deze campagne was de integratie van 'videogamegerelateerde' zinnen in de code. Turla heeft de Command and Control (C&C)-server van Gazer beveiligd door deze te versleutelen met zijn eigen bibliotheek voor 3DES- en RSA-versleuteling.

Turla integreert bedreigingen en infrastructuur van andere cybercriminaliteitsgroepen

In 2018 gaf een inlichtingenrapport aan dat Turla nieuw ontwikkelde schadelijke tools, Neuron en Nautilus , naast de Snake Rootkit , gebruikte om Windows-machines aan te vallen, met een bijzondere nadruk op mail- en webservers. Turla gebruikte gecompromitteerde Snake-slachtoffers om te scannen op ASPX-shells, waarbij opdrachten werden verzonden via gecodeerde HTTP-cookiewaarden. Turla maakte gebruik van ASPX-shells om initiële toegang tot doelsystemen tot stand te brengen voor de inzet van aanvullende tools.

In 2018 richtte Turla opnieuw zijn blik op de buitenlandse kantoren van Europese regeringen, met als doel zeer gevoelige informatie via een achterdeur te infiltreren. Deze campagne was gericht tegen Microsoft Outlook en The Bat!, een veelgebruikte e-mailclient in Oost-Europa, en stuurde alle uitgaande e-mails door naar de aanvallers. De achterdeur maakte gebruik van e-mailberichten om gegevens te extraheren, maakte gebruik van speciaal vervaardigde PDF-documenten en gebruikte e-mailberichten als kanaal voor de Command and Control (C&C)-server.

In 2019 exploiteerden Turla-operators de infrastructuur van OilRig, een met Iran geassocieerde APT-groep die bekend staat om het aanvallen van overheidsinstanties en organisaties in het Midden-Oosten, om hun eigen aanvalsoperaties uit te voeren. Deze campagne omvatte de inzet van een sterk gewijzigde, op maat gemaakte variant van de Mimikatz- tool, naast een nieuwe reeks tools met verschillende nieuwe achterdeurtjes. In de latere fasen van de campagne maakte de Turla-groep gebruik van een aparte Remote Procedure Call (RPC)-achterdeur, waarin code van de openbaar toegankelijke PowerShell Runner-tool werd opgenomen om PowerShell-scripts uit te voeren zonder afhankelijk te zijn van powershell.exe.

Nieuwe achterdeurbedreigingen die in 2020 zijn uitgebracht

In maart 2020 zagen beveiligingsanalisten dat Turla watering-hole-aanvallen gebruikte om zich op talloze Armeense websites te richten. Deze websites werden geïnjecteerd met beschadigde JavaScript-code, hoewel de precieze toegangsmethoden die bij de aanvallen werden gebruikt, niet openbaar zijn gemaakt.

Vervolgens verspreidden de besmette webpagina's gecompromitteerde JavaScript-code in de tweede fase om de browsers van het slachtoffer te identificeren en hen over te halen een slecht Flash-installatieprogramma te installeren. Turla maakte vervolgens gebruik van NetFlash , een .NET-downloader, en PyFlash voor de implementatie van secundaire malware.

Een paar maanden later gebruikte Turla ComRAT v4 , alias Agent.BTZ, als een Remote Access Trojan (RAT). Deze malware, gemaakt met behulp van C++, beschikt over een virtueel FAT16-bestandssysteem dat vaak wordt gebruikt voor het exfiltreren van gevoelige documenten. Het wordt verspreid via gevestigde toegangsroutes zoals de PowerStallion PowerShell-achterdeur, terwijl HTTP en e-mail worden gebruikt als Command and Control (C&C)-kanalen.

Tegen het einde van 2020 stuitten cybersecurity-experts op een achterdeur en documentextractor zonder papieren, genaamd Crutch , toegeschreven aan de Turla-groep. Eerdere versies van Crutch bevatten een achterdeur die communiceerde met een vooraf bepaald Dropbox-account via de officiële HTTP API.

Deze achterdeur beschikte over mogelijkheden om opdrachten uit te voeren die verband hielden met bestandsmanipulatie, procesuitvoering en het tot stand brengen van persistentie via DLL-kaping op Google Chrome, Mozilla Firefox of Microsoft OneDrive. Crutch v4 beschikt met name over een geautomatiseerde functie voor het uploaden van lokale en verwisselbare schijfbestanden naar Dropbox-opslag, mogelijk gemaakt door de Windows-versie van het Wget-hulpprogramma, in tegenstelling tot eerdere iteraties die afhankelijk waren van backdoor-opdrachten.

De Turla APT Group ontketent de TinyTurla-malware en begint zich te richten op activa in Oekraïne

De opkomst van de TinyTurla-achterdeur kwam in 2021 onder de aandacht. Deze dreiging dient waarschijnlijk als een noodplan, waardoor duurzame toegang tot systemen mogelijk wordt gemaakt, zelfs in het geval van verwijdering van primaire malware. De installatie van deze achterdeur wordt vergemakkelijkt via een batchbestand en manifesteert zich als een service-DLL met de naam w64time.dll, met als doel het legitieme w32time.dll-bestand op Windows-platforms na te bootsen.

Te midden van de Russische invasie van Oekraïne verlegde de Turla APT haar aandacht naar doelen die in lijn waren met de Russische belangen in het conflict. Een aankondiging van het Computer Emergency Response Team van Oekraïne (CERT-UA) in juli 2023 onthulde Turla's gebruik van de Capibar-malware en de Kazuar-achterdeur voor spionageactiviteiten gericht op Oekraïense defensiemiddelen. Bij deze operatie werd Capibar ingezet voor het verzamelen van inlichtingen, terwijl Kazuar zich specialiseerde in diefstal van inloggegevens. De aanval was voornamelijk gericht op diplomatieke en militaire entiteiten via phishing-campagnes.

De opkomst van TinyTurla-NG en Pelmeni Wrapper

Tegen het einde van 2023 werd waargenomen dat de Turla-bedreigingsacteur een nieuwe achterdeur genaamd TinyTurla-NG gebruikte in een campagne van drie maanden. De aanvalsoperatie was specifiek gericht tegen niet-gouvernementele organisaties in Polen. Net als zijn voorganger functioneert TinyTurla-NG als een compacte 'laatste redmiddel'-achterdeur. Het wordt strategisch ingezet om inactief te blijven totdat alle andere ongeautoriseerde toegang of achterdeurmechanismen op de aangetaste systemen zijn mislukt of ontdekt.

In februari 2024 ontdekten cybersecurity-analisten een nieuwe Turla-campagne waarin innovatieve strategieën en een aangepaste variant van de Kazuar-trojan werden getoond. Bij deze specifieke aanvalsoperatie werd de Kazuar-dreiging onder de beoogde slachtoffers verspreid via een voorheen ongedocumenteerde verpakking genaamd Pelmeni .

De Turla APT blijft een grote cyberdreiging, ondanks jaren van gedetailleerde aanvalsoperaties

De Turla-groep geldt als een volhardende en blijvende tegenstander en kan bogen op een lange staat van dienst op het gebied van activiteiten. Hun oorsprong, tactieken en keuze van doelwitten duiden op een goed uitgeruste operatie onder leiding van ervaren agenten. Door de jaren heen heeft Turla haar tools en methodologieën consequent verbeterd, wat aangeeft dat ze zich inzetten voor voortdurende verfijning.

De dreiging die uitgaat van groepen als Turla onderstreept de noodzaak voor organisaties en overheden om waakzaam te blijven. Dit betekent het op de hoogte blijven van de ontwikkelingen, het uitwisselen van inlichtingen en het implementeren van robuuste beveiligingsmaatregelen. Dergelijke proactieve stappen stellen zowel groepen als individuen in staat hun verdediging tegen de dreigingen van dergelijke actoren te versterken.