Turla APT

Turla, также известная как Pensive Ursa, Uroburos и Snake, представляет собой сложную продвинутую постоянную угрозу (APT), исходящую из России, с историей, начинающейся как минимум с 2004 года и предполагаемой связью с Федеральной службой безопасности (ФСБ) России. Известная своими целенаправленными вторжениями и передовой тактикой скрытности, Turla заслужила репутацию грозного и неуловимого противника, демонстрируя исключительное техническое мастерство в организации тайных и скрытных кибератак.

За прошедшие годы Turla распространила свое влияние более чем на 45 стран, проникнув в самые разные сектора, такие как правительственные учреждения, дипломатические миссии, военные учреждения, а также образовательные, исследовательские и фармацевтические учреждения. Кроме того, группа была замешана в деятельности, связанной с российско-украинским конфликтом, который разразился в феврале 2022 года, согласно отчетам Украинского CERT, что указывает на шпионские операции, направленные на оборонные интересы Украины.

Хотя Turla преимущественно сосредоточила свои шпионские усилия на системах на базе Windows, она продемонстрировала возможности атаковать платформы MacOS и Linux. Благодаря неустанному развитию Turla накопила огромный арсенал вредоносных программ, включая, помимо прочего, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon и HyperStack и TinyTurla , которые активно использовались в различных угрожающих кампаниях. .

Turla начинает ориентироваться на системы Linux

К 2014 году Turla уже несколько лет действовала в киберпространстве, однако способ ее заражения оставался загадкой. Исследования, проведенные в том же году, пролили свет на сложную многоэтапную атаку, получившую название Epic Turla, и раскрыли использование Turla семейства вредоносных программ Epic. В этой кампании использовались уязвимости CVE-2013-5065 и CVE-2013-3346, используя целевые фишинговые электронные письма, оснащенные эксплойтами Adobe PDF, а также методы «водопоя», использующие эксплойты Java (CVE-2012-1723).

Примечательным аспектом этой кампании было развертывание Turla передовых бэкдоров, таких как Carbon/Cobra, иногда использующих оба в качестве механизма аварийного переключения.

Предыдущие операции Turla в основном были нацелены на системы Windows, но в августе 2014 года ситуация изменилась, когда Turla впервые вышла на территорию Linux. В рамках этой инициативы, известной как Penguin Turla, группа использовала модуль Linux Turla, включающий исполняемый файл C/C++, статически связанный с несколькими библиотеками, что значительно увеличивало размер файла для этой конкретной операции.

Turla представляет новые вредоносные угрозы в своих атаках

В 2016 году группа, известная как Waterbug, предположительно спонсируемая государством, использовала варианты Trojan.Turla и Trojan.Wipbot для эксплуатации уязвимости нулевого дня, нацеленной конкретно на уязвимость локального повышения привилегий NDProxy.sys ядра Windows (CVE-2013). -5065). Согласно результатам исследования, злоумышленники использовали тщательно составленные электронные письма, содержащие небезопасные вложения, а также сеть взломанных веб-сайтов для доставки своих гнусных полезных данных.

В следующем году исследователи обнаружили усовершенствованную версию вредоносного ПО Turla — бэкдор второй стадии, известный как Carbon. Инициирование Carbon-атаки обычно предполагает, что жертва либо получает фишинговое электронное письмо, либо натыкается на взломанный веб-сайт, в просторечии известный как водопой.

Впоследствии устанавливается бэкдор первого этапа, такой как Tavdig или Skipper . По завершении разведывательной деятельности платформа Carbon организует установку бэкдора второго этапа на критически важные системы. Эта платформа включает в себя дроппер, отвечающий за установку файла конфигурации, коммуникационный компонент для взаимодействия с сервером управления и контроля (C&C), оркестратор для управления задачами и горизонтального перемещения внутри сети, а также загрузчик для выполнения оркестратора.

На сцену выходит бэкдор Kazuar от Turla

В мае 2017 года исследователи кибербезопасности связали недавно обнаруженный троян-бэкдор Kazuar с группой Turla. Kazuar, разработанный с использованием Microsoft .NET Framework, может похвастаться высокофункциональными наборами команд, позволяющими удаленно загружать дополнительные плагины.

Kazuar собирает информацию об именах файлов системы и вредоносных программ, устанавливает мьютекс для обеспечения единоличного выполнения и добавляет файл LNK в папку автозагрузки Windows.

Наборы команд Kazuar схожи с наборами команд других троянских программ-бэкдоров. Например, команда Tasklist использует запрос инструментария управления Windows (WMI) для получения запущенных процессов из Windows, а команда info собирает данные об открытых окнах. Кроме того, команда Kazuar cmd выполняет команды с использованием cmd.exe для систем Windows и /bin/bash для систем Unix, что указывает на ее замысел как кроссплатформенное вредоносное ПО, нацеленное как на среды Windows, так и на среды Unix.

Дальнейшие исследования, проведенные в начале 2021 года, выявили заметные параллели между бэкдорами Sunburst и Kazuar.

В 2017 году пройдут новые кампании атак Turla

Turla представила новый бэкдор второго уровня под названием Gazer, написанный на C++ и использующий атаки «водопоя» и целевые фишинговые кампании для точного нацеливания на жертв.

В дополнение к своим улучшенным скрытным возможностям, Gazer продемонстрировал множество сходств с ранее использовавшимися бэкдорами второй ступени, такими как Carbon и Kazuar. Примечательной особенностью этой кампании была интеграция в код предложений, «связанных с видеоиграми». Turla защитила сервер управления и контроля (C&C) Gazer, зашифровав его с помощью своей собственной библиотеки для шифрования 3DES и RSA.

Turla объединяет угрозы и инфраструктуру других киберпреступных группировок

В 2018 году в отчете разведки указывалось, что Turla использовала недавно разработанные вредоносные инструменты Neuron и Nautilus вместе с Snake Rootkit для атак на компьютеры с Windows, уделяя особое внимание почтовым и веб-серверам. Turla использовала скомпрометированные жертвы Snake для сканирования оболочек ASPX, передавая команды через зашифрованные значения файлов cookie HTTP. Turla использовала оболочки ASPX для установления первоначального доступа к целевым системам для развертывания дополнительных инструментов.

В 2018 году Turla снова нацелилась на внешнеполитические ведомства европейских правительств, стремясь проникнуть в высококонфиденциальную информацию через бэкдор. Эта кампания была нацелена на Microsoft Outlook и The Bat!, широко используемый почтовый клиент в Восточной Европе, который перенаправлял всю исходящую электронную почту злоумышленникам. Бэкдор использовал сообщения электронной почты для извлечения данных, используя специально созданные PDF-документы и сообщения электронной почты в качестве канала для своего сервера управления и контроля (C&C).

В 2019 году операторы Turla использовали инфраструктуру OilRig, APT-группы, связанной с Ираном и известной своими атаками на правительственные учреждения и организации на Ближнем Востоке, для проведения собственных атак. Эта кампания включала в себя развертывание сильно модифицированного специального варианта инструмента Mimikatz наряду с новым набором инструментов с несколькими новыми бэкдорами. На более поздних этапах кампании группа Turla использовала отдельный бэкдор удаленного вызова процедур (RPC), включающий код из общедоступного инструмента PowerShell Runner для выполнения сценариев PowerShell без использования powershell.exe.

Новые бэкдор-угрозы, выпущенные в 2020 году

В марте 2020 года аналитики по безопасности заметили, что Turla применяет атаки с использованием водопоев для атак на многочисленные армянские веб-сайты. На эти веб-сайты был внедрен поврежденный код JavaScript, хотя точные методы доступа, использованные в атаках, остаются нераскрытыми.

Впоследствии скомпрометированные веб-страницы распространяли скомпрометированный код JavaScript второго этапа, чтобы идентифицировать браузеры-жертвы и уговорить их установить плохой установщик Flash. Затем Turla использовала NetFlash , загрузчик .NET, и PyFlash для вторичного развертывания вредоносного ПО.

Несколько месяцев спустя Turla использовала ComRAT v4 , он же Agent.BTZ, в качестве трояна удаленного доступа (RAT). Это вредоносное ПО, созданное с использованием C++, имеет виртуальную файловую систему FAT16, часто используемую для кражи конфиденциальных документов. Он распространяется через установленные маршруты доступа, такие как бэкдор PowerStallion PowerShell, используя HTTP и электронную почту в качестве каналов управления и контроля (C&C).

Ближе к концу 2020 года эксперты по кибербезопасности наткнулись на недокументированный бэкдор и экстрактор документов под названием Crutch , приписываемый группе Turla. Более ранние версии Crutch включали бэкдор, связывающийся с заранее определенной учетной записью Dropbox через официальный HTTP API.

Этот бэкдор обладал возможностями выполнять команды, связанные с манипулированием файлами, выполнением процессов и сохранением целостности посредством перехвата DLL в Google Chrome, Mozilla Firefox или Microsoft OneDrive. Примечательно, что Crutch v4 может похвастаться автоматической функцией загрузки файлов с локальных и съемных дисков в хранилище Dropbox, чему способствует версия утилиты Wget для Windows, в отличие от предыдущих итераций, основанных на бэкдор-командах.

Группа Turla APT выпускает вредоносное ПО TinyTurla и начинает атаковать активы в Украине

Появление бэкдора TinyTurla привлекло внимание в 2021 году. Эта угроза, вероятно, служит запасным планом, обеспечивающим устойчивый доступ к системам даже в случае первичного удаления вредоносного ПО. Установка этого бэкдора осуществляется с помощью пакетного файла и проявляется в виде служебной DLL с именем w64time.dll, целью которой является имитация законного файла w32time.dll на платформах Windows.

На фоне российского вторжения в Украину Turla APT перенаправила свое внимание на цели, соответствующие интересам России в конфликте. В заявлении Украинской группы реагирования на компьютерные чрезвычайные ситуации (CERT-UA) в июле 2023 года было раскрыто использование Turla вредоносного ПО Capibar и бэкдора Kazuar для шпионской деятельности, направленной против украинских оборонных активов. В этой операции Капибар был задействован для сбора разведывательной информации, а Казуар специализировался на краже учетных данных. Атака в основном была нацелена на дипломатические и военные организации посредством фишинговых кампаний.

Появление TinyTurla-NG и обертки для пельменей

Ближе к концу 2023 года было замечено, что злоумышленник Turla использовал новый бэкдор под названием TinyTurla-NG в ходе кампании, продолжавшейся три месяца. Операция нападения была конкретно нацелена на неправительственные организации в Польше. Подобно своему предшественнику, TinyTurla-NG функционирует как компактный бэкдор «последней надежды». Стратегически он используется так, чтобы оставаться в бездействии до тех пор, пока все другие механизмы несанкционированного доступа или бэкдоры в скомпрометированных системах либо не выйдут из строя, либо не будут обнаружены.

В феврале 2024 года аналитики кибербезопасности обнаружили новую кампанию Turla, демонстрирующую инновационные стратегии и модифицированный вариант трояна Kazuar. В этой конкретной атаке угроза Kazuar была распространена среди целевых жертв через ранее недокументированную обертку под названием Pelmeni .

Turla APT остается серьезной киберугрозой, несмотря на годы детальных атак

Группа Turla выступает стойким и стойким противником и может похвастаться длительным послужным списком деятельности. Их происхождение, тактика и выбор целей позволяют предположить, что операция проводилась под руководством опытных оперативников с хорошими ресурсами. На протяжении многих лет Turla постоянно совершенствовала свои инструменты и методологии, что свидетельствует о стремлении к постоянному совершенствованию.

Угроза, исходящая от таких групп, как Turla, подчеркивает необходимость того, чтобы организации и правительства сохраняли бдительность. Это предполагает необходимость быть в курсе событий, обмениваться разведданными и принимать надежные меры безопасности. Такие активные шаги позволяют как группам, так и отдельным лицам укрепить свою защиту от угроз, исходящих от таких субъектов.