Turla APT

Turla, även känd som Pensive Ursa, Uroburos och Snake, representerar ett sofistikerat Advanced Persistent Threat (APT) som kommer från Ryssland, med en historia som går tillbaka till åtminstone 2004 och påstådda band till den ryska federala säkerhetstjänsten (FSB). Känd för sina riktade intrång och banbrytande smygtaktik, har Turla fått ett rykte som en formidabel och svårfångad motståndare, som visar upp exceptionell teknisk skicklighet när det gäller att iscensätta hemliga och smygande cyberangrepp.

Under åren har Turla utökat sin räckvidd över mer än 45 länder och infiltrerat en mångfald av sektorer som statliga myndigheter, diplomatiska beskickningar, militära institutioner, såväl som utbildnings-, forsknings- och läkemedelsinstitutioner. Dessutom har gruppen varit inblandad i aktiviteter relaterade till konflikten mellan Ryssland och Ukraina som bröt ut i februari 2022, enligt rapporter från Ukrainas CERT, vilket tyder på spionageverksamhet riktad mot ukrainska försvarsintressen.

Även om Turla till övervägande del fokuserade sina spionageinsatser på Windows-baserade system, har den visat förmåga att rikta in sig på macOS- och Linux-plattformar. Genom obeveklig utveckling har Turla samlat på sig en formidabel arsenal av skadliga verktyg, inklusive men inte begränsat till Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon och HyperStack och TinyTurla , som har använts aktivt i olika hotfulla kampanjer. .

Turla börjar rikta in sig på Linux-system

År 2014 hade Turla redan verkat i cyberlandskapet i flera år, men metoden för infektionen förblev ett mysterium. Forskning som utfördes samma år kastade ljus över en sofistikerad flerstegsattack kallad Epic Turla, och avslöjade Turlas användning av Epic malware-familjen. Den här kampanjen utnyttjade sårbarheterna CVE-2013-5065 och CVE-2013-3346, och utnyttjade e-postmeddelanden med spjutfiske beväpnade med Adobe PDF-utnyttjningar tillsammans med vattenhålstekniker som använder Java-exploater (CVE-2012-1723).

En anmärkningsvärd aspekt av denna kampanj var Turlas utplacering av avancerade bakdörrar som Carbon/Cobra, som ibland använder båda som en failover-mekanism.

Tidigare Turla-verksamheter var huvudsakligen inriktade på Windows-system, men i augusti 2014 förändrades landskapet när Turla tog sig in på Linux-territorium för första gången. Detta initiativ, känt som Penguin Turla, såg att gruppen använde en Linux Turla-modul med en C/C++ körbar statiskt länkad mot flera bibliotek, vilket avsevärt ökade dess filstorlek för just denna operation.

Turla introducerar nya hot mot skadlig programvara i sina attacker

Under 2016 använde en grupp känd som Waterbug, som påstås vara en statligt sponsrad enhet, varianter av Trojan.Turla och Trojan.Wipbot för att utnyttja en nolldagarssårbarhet, specifikt inriktat på Windows Kernel NDProxy.sys lokala privilegieskaleringssårbarhet (CVE-2013) -5065). Enligt forskningsrön använde angriparna noggrant utformade e-postmeddelanden som innehöll osäkra bilagor tillsammans med ett nätverk av komprometterade webbplatser för att leverera sina otrevliga nyttolaster.

Året därpå upptäckte forskare en avancerad iteration av Turla malware - en bakdörr i andra steget identifierad som Carbon. Initiering av en kolattack innebär vanligtvis att offret antingen får ett e-postmeddelande med spjutfiske eller snubblar på en komprometterad webbplats, i dagligt tal känd som ett vattenhål.

Därefter installeras en första stegs bakdörr som Tavdig eller Skipper . När rekognoseringsaktiviteterna är klara, orkestrerar Carbon-ramverket installationen av dess andrastegs bakdörr på kritiska system. Detta ramverk omfattar en dropper som ansvarar för att installera dess konfigurationsfil, en kommunikationskomponent för att interagera med Command and Control (C&C)-servern, en orkestrator för att hantera uppgifter och sidorörelser inom nätverket, och en loader för att köra orkestratorn.

Turlas Kazuar-bakdörr kommer in på scenen

I maj 2017 kopplade cybersäkerhetsforskare en nyupptäckt bakdörrstrojan, Kazuar, till Turla-gruppen. Kazuar har utvecklats med hjälp av Microsoft .NET Framework och har mycket funktionella kommandouppsättningar som kan fjärrladda ytterligare plugin-program.

Kazuar arbetar genom att samla system- och skadlig filnamnsinformation, upprätta en mutex för att säkerställa singulär exekvering och lägga till en LNK-fil till Windows-startmappen.

Kommandouppsättningarna i Kazuar uppvisar likheter med de som finns i andra bakdörrstrojaner. Till exempel använder kommandot tasklist en Windows Management Instrumentation-fråga (WMI) för att hämta pågående processer från Windows, medan info-kommandot samlar in data om öppna fönster. Dessutom exekverar Kazuars cmd-kommando kommandon med cmd.exe för Windows-system och /bin/bash för Unix-system, vilket indikerar dess design som en plattformsoberoende skadlig kod riktad mot både Windows- och Unix-miljöer.

Ytterligare forskning i början av 2021 avslöjade anmärkningsvärda paralleller mellan Sunburst- och Kazuar-bakdörrarna.

Fler Turla-attackkampanjer äger rum 2017

Turla introducerade en ny bakdörr i andra steget som heter Gazer, kodad i C++, som utnyttjar vattenhålsattacker och spjutfiskekampanjer för att rikta offren exakt.

Utöver sina förbättrade smygegenskaper uppvisade Gazer många likheter med tidigare använda andrastegs bakdörrar som Carbon och Kazuar. Ett anmärkningsvärt inslag i denna kampanj var integrationen av "videospelsrelaterade" meningar i koden. Turla säkrade Gazers Command and Control-server (C&C) genom att kryptera den med sitt proprietära bibliotek för 3DES- och RSA-kryptering.

Turla införlivar hot och infrastruktur från andra cyberbrottsgrupper

Under 2018 indikerade en underrättelserapport att Turla använde nyutvecklade skadliga verktyg, Neuron och Nautilus , tillsammans med Snake Rootkit, för att rikta in sig på Windows-maskiner, med särskilt fokus på e-post och webbservrar. Turla använde komprometterade Snake-offer för att söka efter ASPX-skal, och överförde kommandon via krypterade HTTP-cookievärden. Turla utnyttjade ASPX-skal för att etablera initial åtkomst till målsystem för utplacering av ytterligare verktyg.

Återigen 2018 riktade Turla siktet mot europeiska regeringars utrikeskontor i syfte att infiltrera mycket känslig information genom en bakdörr. Den här kampanjen riktade sig till Microsoft Outlook och The Bat!, en flitigt använd e-postklient i Östeuropa, som omdirigerade all utgående e-post till angriparna. Bakdörren använde e-postmeddelanden för att extrahera data, använde specialgjorda PDF-dokument och använde e-postmeddelanden som en kanal för sin Command and Control-server (C&C).

Under 2019 utnyttjade Turla-operatörer infrastrukturen hos OilRig, en APT-grupp associerad med Iran känd för att rikta in sig på statliga enheter och organisationer i Mellanöstern, för att genomföra sina egna attackoperationer. Denna kampanj innebar utplaceringen av en kraftigt modifierad, anpassad variant av Mimikatz -verktyget tillsammans med en ny uppsättning verktyg med flera fräscha bakdörrar. I de senare faserna av kampanjen använde Turla-gruppen en distinkt Remote Procedure Call (RPC) bakdörr, med kod från det allmänt tillgängliga PowerShell Runner-verktyget för att exekvera PowerShell-skript utan att förlita sig på powershell.exe.

Nya bakdörrshot släpptes under 2020

I mars 2020 observerade säkerhetsanalytiker att Turla använde vattenhålsattacker för att rikta in sig på många armeniska webbplatser. Dessa webbplatser injicerades med skadad JavaScript-kod, även om de exakta åtkomstmetoderna som användes vid attackerna förblir okänd.

Därefter distribuerade de komprometterade webbsidorna komprometterad JavaScript-kod i andra steget för att identifiera offrets webbläsare och locka dem att installera ett dåligt Flash-installationsprogram. Turla utnyttjade sedan NetFlash , en .NET-nedladdare, och PyFlash för sin sekundära skadliga distribution.

Några månader senare använde Turla ComRAT v4 , alias Agent.BTZ, som en fjärråtkomsttrojan (RAT). Denna skadliga programvara, skapad med C++, har ett virtuellt FAT16-filsystem som ofta används för att exfiltrera känsliga dokument. Den sprids via etablerade åtkomstvägar som PowerStallion PowerShell-bakdörren samtidigt som HTTP och e-post används som kommando- och kontrollkanaler (C&C).

Mot slutet av 2020 snubblade cybersäkerhetsexperter över en odokumenterad bakdörr och dokumentutdragare vid namn Crutch , tillskriven Turla-gruppen. Tidigare versioner av Crutch inkluderade en bakdörr som kommunicerade med ett förutbestämt Dropbox-konto via det officiella HTTP API.

Denna bakdörr hade kapacitet att utföra kommandon relaterade till filmanipulation, processexekvering och upprättande av persistens genom DLL-kapning på Google Chrome, Mozilla Firefox eller Microsoft OneDrive. Speciellt har Crutch v4 en automatiserad funktion för att ladda upp lokala och flyttbara diskfiler till Dropbox-lagring, underlättat av Windows-versionen av Wget-verktyget, till skillnad från tidigare iterationer som är beroende av bakdörrskommandon.

Turla APT Group släpper lös TinyTurla Malware och börjar rikta in sig på tillgångar i Ukraina

Framväxten av TinyTurla-bakdörren uppmärksammades 2021. Detta hot fungerar sannolikt som en beredskapsplan, vilket möjliggör fortsatt åtkomst till system även i händelse av att primär skadlig programvara tas bort. Installationen av denna bakdörr underlättas genom en batchfil och manifesteras som en tjänst DLL med namnet w64time.dll, som syftar till att efterlikna den legitima filen w32time.dll på Windows-plattformar.

Mitt i den ryska invasionen av Ukraina riktade Turla APT om sitt fokus mot mål i linje med Rysslands intressen i konflikten. Ett tillkännagivande från Computer Emergency Response Team of Ukraine (CERT-UA) i juli 2023 avslöjade Turlas användning av Capibar malware och Kazuar bakdörr för spionageaktiviteter riktade mot ukrainska försvarstillgångar. I denna operation anställdes Capibar för underrättelseinsamling medan Kazuar specialiserade sig på legitimationsstöld. Attacken riktade sig främst till diplomatiska och militära enheter genom nätfiskekampanjer.

Uppkomsten av TinyTurla-NG och Pelmeni Wrapper

Mot slutet av 2023 observerades Turla-hotaktören använda en ny bakdörr vid namn TinyTurla-NG i en kampanj som sträckte sig över tre månader. Attacken riktade sig specifikt mot icke-statliga organisationer i Polen. I likhet med sin föregångare fungerar TinyTurla-NG som en kompakt "sista utväg" bakdörr. Den är strategiskt utplacerad för att förbli vilande tills all annan obehörig åtkomst eller bakdörrsmekanismer på de komprometterade systemen antingen har misslyckats eller upptäckts.

I februari 2024 grävde cybersäkerhetsanalytiker fram en ny Turla-kampanj som visade upp innovativa strategier och en modifierad variant av Kazuar-trojanen. I denna speciella attackoperation distribuerades Kazuar-hotet till offren genom ett tidigare odokumenterat omslag vid namn Pelmeni .

Turla APT förblir ett stort cyberthot trots år av detaljerade attackoperationer

Turla-gruppen står som en ihärdig och uthållig motståndare, som har en lång erfarenhet av aktiviteter. Deras ursprung, taktik och val av mål tyder på en operation med goda resurser som leds av skickliga agenter. Under årens lopp har Turla konsekvent förbättrat sina verktyg och metoder, vilket tyder på ett engagemang för kontinuerlig förfining.

Hotet från grupper som Turla understryker nödvändigheten för organisationer och regeringar att upprätthålla vaksamhet. Detta innebär att hålla sig à jour med utvecklingen, utbyta underrättelser och implementera robusta säkerhetsåtgärder. Sådana proaktiva åtgärder gör det möjligt för både grupper och individer att stärka sitt försvar mot de hot som sådana aktörer utgör.