Threat Database Backdoors Turla Backdoor

Turla Backdoor

Turla APT (Advanced Persistent Threat) är en ökänd rysk hackergrupp som har varit verksam i över ett decennium nu. De kallas också Uroburos APT eller Snake APT. De är kända för att ha smak för avancerade offer. Det rapporterades att Turla APT hade infiltrerat Tysklands Federal College of Public Administration och sedan genom det lyckats kompromissa med Federal Foreign Office i landet. Dessutom var detta inte en engångspenetration; det har avslöjats att Turla APT gick under de tyska myndigheternas radar under nästan hela 2017. Under denna tid höll hackningsgruppen på att samla in och samla in regeringsdata. Denna imponerande operation utfördes med ett APT -verktyg som kallas Turla Backdoor.

Tre europeiska länder har rapporterat attacker från denna ryska hackergrupp. Målen var återigen deras utlandskontor. Det är säkert att anta att Turla APT är starkt inblandat i spionage eftersom deras huvudmål alltid har varit diplomater, militära och statliga myndigheter och politiker. Det misstänks att Turla APT kan vara kopplat till den ryska regeringen, men denna information är ännu inte bekräftad.

Turla APT: s bakdörr antas ha sitt ursprung redan 2009. Hackgruppen har dock inte varit inaktiv under åren och har infört många förbättringar av deras bakdörr, till exempel hotets förmåga att ta emot kommandon via en PDF -fil bifogad ett e -postmeddelande , som introducerades redan 2016. År 2018 lades en ny funktion till Turla APT: s bakdörr - den hade uppgraderats med möjligheten att utföra PowerShell -kommandon på den infekterade värden.

Denna senaste version av denna bakdörr är utrustad med möjligheten att infiltrera Microsoft Outlook. Intressant nog använder Turla APT inte en sårbarhet i programmet, utan manipulerar istället det legitima MAPI (Messaging Application Programming Interface) i Microsoft Outlook och får genom det åtkomst till direktmeddelanden från deras avsedda mål. Till skillnad från de flesta bakdörrar, som vanligtvis tar emot kommandon via en Command and Control -server för gärningsmännen, styrs Turla Backdoor genom specialutformade e -postmeddelanden tack vare den förbättring som Turla APT introducerade 2016. Turla Backdoor kan utföra många kommandon, bland som samlar in data och laddar ner och kör olika filer. Denna bakdörr är inte för kräsen när det kommer till var den planteras - Turla Backdoor finns i form av DLL -modul (Dynamic Link Library) och kan köras var som helst på hårddisken. Dessutom använder Turla APT ett Windows -verktyg (RegSvr32.exe) för att installera sin bakdörr på det riktade systemet.

Naturligtvis, som varje mycket effektivt hot av denna kaliber, är Turla Backdoor också utrustad med stor uthållighet. För att minimera risken för att upptäckas kommer Turla Backdoor inte att utföra sina "uppgifter" hela tiden. Istället använder den en välkänd Windows-sårbarhet angående Component Object Model (COM.) Genom att utnyttja denna sårbarhet kan bakdörren injicera sina instanser i den legitima 'outlook.exe' -processen, vilket eliminerar behovet av att använda en DLL injektion-en attackvektor som antivirusprodukter lätt upptäcker.

Genom att infiltrera Microsoft Outlook kan Turla Backdoor samla in metadata om offrets meddelandeaktivitet - e -postämne, namn på bilagan, avsändare och mottagare. Denna data samlas in och lagras av Turla Backdoor och överförs regelbundet till angriparens servrar. Ett hot som Turla Backdoor kan orsaka mycket skada, särskilt om angriparna lyckas infektera ett system som används för att lagra känslig data eller kommunikation och det är uppenbart att Turla APT riktar sig exakt till dessa användare.

Bortsett från datastöld kan skadlig programvara beordras att ladda ner ytterligare filer eller köra skadade PowerShell -skript. Sammanfattningsvis är Turla Backdoor ett hot som ligger nära en rootkit i dess funktionalitet.

relaterade inlägg

Trendigt

Mest sedda

Läser in...