Multi-License Discount Quote
ฐานข้อมูลภัยคุกคาม Advanced Persistent Threat (APT) Turla APT

Turla APT

โดย Mezo ใน Advanced Persistent Threat (APT), Malware
แปลเป็น:
ภาษาไทย

Turla หรือที่รู้จักกันในชื่อ Pensive Ursa, Uroburos และ Snake เป็นตัวแทนของภัยคุกคามขั้นสูงแบบถาวร (APT) ที่มีต้นกำเนิดมาจากรัสเซีย โดยมีประวัติย้อนหลังไปถึงปี 2004 เป็นอย่างน้อยและอ้างว่ามีความเกี่ยวข้องกับหน่วยบริการความมั่นคงกลางของรัสเซีย (FSB) มีชื่อเสียงในด้านการโจมตีแบบกำหนดเป้าหมายและกลยุทธ์การลักลอบที่ล้ำสมัย Turla ได้รับชื่อเสียงในฐานะศัตรูที่น่าเกรงขามและหลบหลีกได้ โดยแสดงให้เห็นถึงความสามารถทางเทคนิคที่ยอดเยี่ยมในการเตรียมการโจมตีทางไซเบอร์ที่เป็นความลับและลับๆ

ในช่วงหลายปีที่ผ่านมา Turla ได้ขยายการเข้าถึงไปยังกว่า 45 ประเทศ โดยแทรกซึมเข้าไปในภาคส่วนต่างๆ เช่น หน่วยงานของรัฐ คณะทูต สถานประกอบการทางทหาร ตลอดจนสถาบันการศึกษา การวิจัย และเภสัชกรรม นอกจากนี้ กลุ่มนี้ยังมีส่วนเกี่ยวข้องในกิจกรรมที่เกี่ยวข้องกับความขัดแย้งระหว่างรัสเซียและยูเครนซึ่งปะทุขึ้นในเดือนกุมภาพันธ์ พ.ศ. 2565 ตามรายงานของ CERT ของยูเครน ซึ่งบ่งชี้ว่าปฏิบัติการจารกรรมมุ่งเป้าไปที่ผลประโยชน์ด้านกลาโหมของยูเครน

แม้ว่า Turla จะเน้นไปที่ความพยายามในการจารกรรมบนระบบที่ใช้ Windows เป็นหลัก แต่ก็ได้แสดงให้เห็นถึงความสามารถในการกำหนดเป้าหมายแพลตฟอร์ม macOS และ Linux ด้วยการพัฒนาอย่างไม่หยุดยั้ง Turla ได้รวบรวมคลังเครื่องมือมัลแวร์ที่น่าเกรงขาม ซึ่งรวมถึงแต่ไม่จำกัดเพียง Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon และ HyperStack และ TinyTurla ซึ่งได้รับการใช้งานอย่างแข็งขันในแคมเปญคุกคามต่างๆ .

Turla เริ่มกำหนดเป้าหมายระบบ Linux

ภายในปี 2014 Turla ได้ดำเนินธุรกิจในโลกไซเบอร์มาหลายปีแล้ว แต่วิธีการติดเชื้อยังคงเป็นปริศนา การวิจัยที่ดำเนินการในปีเดียวกันนั้นให้ความกระจ่างเกี่ยวกับการโจมตีหลายขั้นตอนที่ซับซ้อนซึ่งมีชื่อว่า Epic Turla ซึ่งเผยให้เห็นถึงการใช้งานตระกูลมัลแวร์ Epic ของ Turla แคมเปญนี้ใช้ประโยชน์จากช่องโหว่ CVE-2013-5065 และ CVE-2013-3346 โดยใช้ประโยชน์จากอีเมลฟิชชิ่งแบบหอกที่มีช่องโหว่ Adobe PDF ควบคู่ไปกับเทคนิค watering-hole ที่ใช้ช่องโหว่ของ Java (CVE-2012-1723)

ลักษณะเด่นของแคมเปญนี้คือการติดตั้งแบ็คดอร์ขั้นสูงของ Turla เช่น Carbon/Cobra ซึ่งบางครั้งใช้ทั้งสองอย่างเป็นกลไกการเฟลโอเวอร์

การดำเนินงานของ Turla ก่อนหน้านี้มุ่งเน้นไปที่ระบบ Windows เป็นหลัก แต่ในเดือนสิงหาคม 2014 ภาพรวมได้เปลี่ยนไปเมื่อ Turla เข้าสู่ดินแดน Linux เป็นครั้งแรก โครงการริเริ่มนี้เป็นที่รู้จักในชื่อ Penguin Turla โดยกลุ่มบริษัทใช้โมดูล Linux Turla ซึ่งมีไฟล์ปฏิบัติการ C/C++ ที่เชื่อมโยงแบบสแตติกกับไลบรารีต่างๆ ซึ่งทำให้ขนาดไฟล์เพิ่มขึ้นอย่างมากสำหรับการดำเนินการเฉพาะนี้

Turla เปิดตัวภัยคุกคามมัลแวร์ใหม่ในการดำเนินการโจมตี

ในปี 2559 กลุ่มที่รู้จักกันในชื่อ Waterbug ซึ่งอ้างว่าเป็นหน่วยงานที่ได้รับการสนับสนุนจากรัฐ ได้ใช้ตัวแปรของ Trojan.Turla และ Trojan.Wipbot เพื่อใช้ประโยชน์จากช่องโหว่แบบ Zero-day โดยกำหนดเป้าหมายไปที่ช่องโหว่การยกระดับสิทธิ์ในเครื่อง Windows Kernel NDProxy.sys (CVE-2013 -5065) จากผลการวิจัย ผู้โจมตีใช้อีเมลที่สร้างขึ้นอย่างพิถีพิถันซึ่งมีไฟล์แนบที่ไม่ปลอดภัยควบคู่ไปกับเครือข่ายเว็บไซต์ที่ถูกบุกรุกเพื่อส่งมอบเพย์โหลดที่ชั่วร้าย

ในปีต่อมา นักวิจัยได้ค้นพบการทำซ้ำขั้นสูงของมัลแวร์ Turla ซึ่งเป็นแบ็คดอร์ขั้นที่สองที่ระบุว่าเป็นคาร์บอน การเริ่มต้นการโจมตีแบบ Carbon มักเกี่ยวข้องกับเหยื่อที่ได้รับอีเมลฟิชชิ่งแบบหอกหรือสะดุดกับเว็บไซต์ที่ถูกบุกรุกหรือที่เรียกขานกันว่าเป็นหลุมรดน้ำ

จากนั้นจะมีการติดตั้งแบ็คดอร์ขั้นแรกเช่น Tavdig หรือ Skipper เมื่อเสร็จสิ้นกิจกรรมการลาดตระเวน กรอบคาร์บอนจะเตรียมการติดตั้งประตูหลังระยะที่สองบนระบบที่สำคัญ เฟรมเวิร์กนี้ประกอบด้วย dropper ที่รับผิดชอบในการติดตั้งไฟล์การกำหนดค่า ส่วนประกอบการสื่อสารเพื่อโต้ตอบกับเซิร์ฟเวอร์ Command and Control (C&C) ผู้ควบคุมการจัดการงานและการเคลื่อนไหวด้านข้างภายในเครือข่าย และตัวโหลดสำหรับการเรียกใช้งานผู้ควบคุม

ประตูหลัง Kazuar ของ Turla เข้ามาในฉาก

ในเดือนพฤษภาคม 2017 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เชื่อมโยง Kazuar โทรจันลับๆ ที่เพิ่งค้นพบเข้ากับกลุ่ม Turla Kazuar ได้รับการพัฒนาโดยใช้ Microsoft .NET Framework มีชุดคำสั่งที่มีฟังก์ชันการทำงานสูงซึ่งสามารถโหลดปลั๊กอินเพิ่มเติมได้จากระยะไกล

Kazuar ดำเนินการโดยการรวบรวมข้อมูลชื่อไฟล์ของระบบและมัลแวร์ สร้าง mutex เพื่อให้แน่ใจว่ามีการดำเนินการแบบเอกพจน์ และเพิ่มไฟล์ LNK ลงในโฟลเดอร์เริ่มต้นระบบ Windows

ชุดคำสั่งภายใน Kazuar มีความคล้ายคลึงกับชุดคำสั่งที่พบในโทรจันลับๆ อื่นๆ ตัวอย่างเช่น คำสั่งรายการงานใช้แบบสอบถาม Windows Management Instrumentation (WMI) เพื่อดึงกระบวนการที่กำลังทำงานอยู่จาก Windows ในขณะที่คำสั่ง info จะรวบรวมข้อมูลบนหน้าต่างที่เปิดอยู่ นอกจากนี้ คำสั่ง cmd ของ Kazuar ยังรันคำสั่งโดยใช้ cmd.exe สำหรับระบบ Windows และ /bin/bash สำหรับระบบ Unix ซึ่งบ่งชี้ว่าการออกแบบเป็นมัลแวร์ข้ามแพลตฟอร์มที่กำหนดเป้าหมายทั้งสภาพแวดล้อม Windows และ Unix

การวิจัยเพิ่มเติมในต้นปี 2021 เผยให้เห็นความคล้ายคลึงกันที่โดดเด่นระหว่างแบ็คดอร์ Sunburst และ Kazuar

แคมเปญการโจมตีของ Turla เกิดขึ้นเพิ่มเติมในปี 2560

Turla เปิดตัวแบ็คดอร์ขั้นที่สองแบบใหม่ที่เรียกว่า Gazer ซึ่ง เขียนโค้ดด้วย C++ โดยใช้ประโยชน์จากการโจมตีแบบ watering-hole และแคมเปญฟิชชิ่งแบบหอกเพื่อกำหนดเป้าหมายเหยื่ออย่างแม่นยำ

นอกเหนือจากความสามารถในการลักลอบที่ได้รับการปรับปรุงแล้ว Gazer ยังแสดงความคล้ายคลึงกับแบ็คดอร์ขั้นที่สองที่เคยใช้งานก่อนหน้านี้ เช่น Carbon และ Kazuar อีกด้วย คุณลักษณะเด่นของแคมเปญนี้คือการรวมประโยค "ที่เกี่ยวข้องกับวิดีโอเกม" ไว้ภายในโค้ด Turla รักษาความปลอดภัยเซิร์ฟเวอร์ Command and Control (C&C) ของ Gazer ด้วยการเข้ารหัสด้วยไลบรารีที่เป็นกรรมสิทธิ์สำหรับการเข้ารหัส 3DES และ RSA

Turla รวบรวมภัยคุกคามและโครงสร้างพื้นฐานจากกลุ่มอาชญากรรมไซเบอร์อื่นๆ

ในปี 2018 รายงานข่าวกรองระบุว่า Turla ใช้เครื่องมืออันตรายที่พัฒนาขึ้นใหม่ Neuron และ Nautilus ควบคู่ไปกับ Snake Rootkit เพื่อกำหนดเป้าหมายเครื่อง Windows โดยเน้นไปที่เมลและเว็บเซิร์ฟเวอร์โดยเฉพาะ Turla ใช้เหยื่อ Snake ที่ถูกบุกรุกเพื่อสแกนหาเชลล์ ASPX โดยส่งคำสั่งผ่านค่าคุกกี้ HTTP ที่เข้ารหัส Turla ใช้ประโยชน์จากเชลล์ ASPX เพื่อสร้างการเข้าถึงระบบเป้าหมายเบื้องต้นสำหรับการปรับใช้เครื่องมือเพิ่มเติม

เป็นอีกครั้งในปี 2018 ที่ Turla ตั้งเป้าไปที่สำนักงานต่างประเทศของรัฐบาลยุโรป โดยมีเป้าหมายที่จะแทรกซึมข้อมูลที่ละเอียดอ่อนสูงผ่านทางประตูหลัง แคมเปญนี้กำหนดเป้าหมายไปที่ Microsoft Outlook และ The Bat! ซึ่งเป็นโปรแกรมรับส่งเมลที่ใช้กันอย่างแพร่หลายในยุโรปตะวันออก โดยเปลี่ยนเส้นทางอีเมลขาออกทั้งหมดไปยังผู้โจมตี แบ็คดอร์ใช้ข้อความอีเมลเพื่อดึงข้อมูล โดยใช้เอกสาร PDF ที่จัดทำขึ้นเป็นพิเศษ และใช้ข้อความอีเมลเป็นช่องทางสำหรับเซิร์ฟเวอร์ Command and Control (C&C)

ในปี 2019 ผู้ปฏิบัติงานของ Turla ใช้ประโยชน์จากโครงสร้างพื้นฐานของ OilRig ซึ่งเป็นกลุ่ม APT ที่เกี่ยวข้องกับอิหร่านซึ่งเป็นที่รู้จักในเรื่องการกำหนดเป้าหมายหน่วยงานรัฐบาลและองค์กรในตะวันออกกลาง เพื่อดำเนินการโจมตีของตนเอง แคมเปญนี้เกี่ยวข้องกับการปรับใช้เครื่องมือ Mimikatz ที่ได้รับการดัดแปลงอย่างหนัก ควบคู่ไปกับชุดเครื่องมือใหม่ที่มีแบ็คดอร์ใหม่ๆ หลายตัว ในช่วงหลังของแคมเปญ กลุ่ม Turla ใช้แบ็คดอร์ Remote Procedure Call (RPC) ที่แตกต่างกัน โดยผสมผสานโค้ดจากเครื่องมือ PowerShell Runner ที่เข้าถึงได้แบบสาธารณะเพื่อรันสคริปต์ PowerShell โดยไม่ต้องใช้ powershell.exe

ภัยคุกคามลับๆ ใหม่เปิดตัวตลอดปี 2020

ในเดือนมีนาคม 2020 นักวิเคราะห์ความปลอดภัยสังเกตว่า Turla ใช้การโจมตีแบบ Water Hole เพื่อกำหนดเป้าหมายเว็บไซต์อาร์เมเนียจำนวนมาก เว็บไซต์เหล่านี้เต็มไปด้วยโค้ด JavaScript ที่เสียหาย แม้ว่าวิธีการเข้าถึงที่แม่นยำที่ใช้ในการโจมตีจะยังคงไม่เปิดเผยก็ตาม

ต่อมา หน้าเว็บที่ถูกบุกรุกได้กระจายโค้ด JavaScript ขั้นที่สองที่ถูกบุกรุก เพื่อระบุเบราว์เซอร์ของเหยื่อและชักชวนให้ติดตั้งโปรแกรมติดตั้ง Flash ที่ไม่ถูกต้อง จากนั้น Turla ก็ใช้ประโยชน์จาก NetFlash ซึ่งเป็น .NET downloader และ PyFlash สำหรับการปรับใช้มัลแวร์รอง

ไม่กี่เดือนต่อมา Turla จ้าง ComRAT v4 นามแฝง Agent.BTZ เป็นโทรจันการเข้าถึงระยะไกล (RAT) มัลแวร์นี้สร้างขึ้นโดยใช้ C++ มีระบบไฟล์เสมือน FAT16 ที่ใช้บ่อยในการกรองเอกสารสำคัญ มีการเผยแพร่ผ่านเส้นทางการเข้าถึงที่กำหนดไว้ เช่น แบ็คดอร์ PowerStallion PowerShell ในขณะที่ใช้ HTTP และอีเมลเป็นช่องทาง Command and Control (C&C)

ในช่วงปลายปี 2020 ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้พบกับแบ็คดอร์ที่ไม่มีเอกสารและโปรแกรมแยกเอกสารชื่อ Crutch ซึ่งมาจากกลุ่ม Turla Crutch เวอร์ชันก่อนหน้ามีแบ็คดอร์ที่สื่อสารกับบัญชี Dropbox ที่กำหนดไว้ล่วงหน้าผ่าน HTTP API อย่างเป็นทางการ

แบ็คดอร์นี้มีความสามารถในการรันคำสั่งที่เกี่ยวข้องกับการจัดการไฟล์ การดำเนินการตามกระบวนการ และสร้างความคงอยู่ผ่านการจี้ DLL บน Google Chrome, Mozilla Firefox หรือ Microsoft OneDrive โดยเฉพาะอย่างยิ่ง Crutch v4 มีคุณสมบัติอัตโนมัติในการอัปโหลดไฟล์ในเครื่องและไฟล์ไดรฟ์แบบถอดได้ไปยังที่เก็บข้อมูล Dropbox ซึ่งอำนวยความสะดวกโดยยูทิลิตี้ Wget เวอร์ชัน Windows ซึ่งแตกต่างจากการทำซ้ำครั้งก่อนซึ่งอาศัยคำสั่งลับๆ

กลุ่ม Turla APT ปล่อยมัลแวร์ TinyTurla และเริ่มกำหนดเป้าหมายสินทรัพย์ในยูเครน

การเกิดขึ้นของแบ็คดอร์ TinyTurla ได้รับความสนใจในปี 2021 ภัยคุกคามนี้น่าจะเป็นแผนฉุกเฉิน ซึ่งช่วยให้สามารถเข้าถึงระบบได้อย่างยั่งยืน แม้ในกรณีที่มีการลบมัลแวร์หลักออก การติดตั้งแบ็คดอร์นี้ทำได้ผ่านไฟล์แบตช์และปรากฏเป็นบริการ DLL ชื่อ w64time.dll โดยมีวัตถุประสงค์เพื่อเลียนแบบไฟล์ w32time.dll ที่ถูกต้องตามกฎหมายบนแพลตฟอร์ม Windows

ท่ามกลางการรุกรานยูเครนของรัสเซีย Turla APT เปลี่ยนเส้นทางการมุ่งเน้นไปที่เป้าหมายที่สอดคล้องกับผลประโยชน์ของรัสเซียในความขัดแย้ง การประกาศจากทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของประเทศยูเครน (CERT-UA) ในเดือนกรกฎาคม 2023 เปิดเผยการใช้มัลแวร์ Capibar และประตูหลังของ Kazuar ของ Turla สำหรับกิจกรรมจารกรรมที่มุ่งเป้าไปที่ทรัพย์สินด้านการป้องกันประเทศยูเครน ในปฏิบัติการนี้ Capibar ถูกใช้เพื่อรวบรวมข้อมูลในขณะที่ Kazuar เชี่ยวชาญด้านการขโมยข้อมูลประจำตัว การโจมตีดังกล่าวมุ่งเป้าไปที่หน่วยงานการทูตและการทหารเป็นหลักผ่านแคมเปญฟิชชิ่ง

การเกิดขึ้นของ TinyTurla-NG และ Pelmeni Wrapper

ในช่วงปลายปี 2023 ผู้แสดงภัยคุกคาม Turla ถูกพบว่าใช้ประตูหลังตัวใหม่ชื่อ TinyTurla-NG ในแคมเปญที่ครอบคลุมระยะเวลาสามเดือน ปฏิบัติการโจมตีมุ่งเป้าไปที่องค์กรพัฒนาเอกชนในโปแลนด์โดยเฉพาะ เช่นเดียวกับรุ่นก่อน TinyTurla-NG ทำหน้าที่เป็นแบ็คดอร์ขนาดกะทัดรัด 'ทางเลือกสุดท้าย' มีการปรับใช้เชิงกลยุทธ์เพื่อให้คงอยู่เฉยๆ จนกว่ากลไกการเข้าถึงหรือประตูหลังอื่นๆ ที่ไม่ได้รับอนุญาตในระบบที่ถูกบุกรุกจะล้มเหลวหรือถูกค้นพบ

ในเดือนกุมภาพันธ์ 2024 นักวิเคราะห์ความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญ Turla ใหม่ ซึ่งนำเสนอกลยุทธ์ที่เป็นนวัตกรรมใหม่และเวอร์ชันดัดแปลงของโทรจัน Kazuar ในปฏิบัติการโจมตีนี้ ภัยคุกคามของ Kazuar ได้ถูกกระจายไปยังเหยื่อเป้าหมายผ่านเครื่องห่อที่ไม่มีเอกสารซึ่งก่อนหน้านี้ชื่อว่า Pelmeni

Turla APT ยังคงเป็นภัยคุกคามทางไซเบอร์ที่สำคัญ แม้ว่าจะมีการดำเนินการโจมตีโดยละเอียดนานหลายปีก็ตาม

กลุ่ม Turla ยืนหยัดเป็นศัตรูที่ยืนหยัดและยืนยง โดยมีประวัติกิจกรรมมาอย่างยาวนาน ต้นกำเนิด ยุทธวิธี และการเลือกเป้าหมายบ่งชี้ถึงปฏิบัติการที่มีทรัพยากรเพียงพอซึ่งนำโดยเจ้าหน้าที่ปฏิบัติการที่เชี่ยวชาญ ในช่วงหลายปีที่ผ่านมา Turla ได้ปรับปรุงเครื่องมือและวิธีการของตนอย่างต่อเนื่อง ซึ่งบ่งบอกถึงความมุ่งมั่นในการปรับปรุงอย่างต่อเนื่อง

การคุกคามที่เกิดจากกลุ่มต่างๆ เช่น Turla ตอกย้ำถึงความจำเป็นสำหรับองค์กรและรัฐบาลในการรักษาความระมัดระวัง สิ่งนี้เกี่ยวข้องกับการติดตามการพัฒนา การแลกเปลี่ยนข่าวกรอง และการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่ง ขั้นตอนเชิงรุกดังกล่าวช่วยให้ทั้งกลุ่มและบุคคลสามารถเสริมการป้องกันตนเองจากภัยคุกคามที่เกิดจากผู้แสดงดังกล่าว

มาแรง

Wisz แรนซัมแวร์

Ransomware
ทุกครั้งที่มีแรนซัมแวร์รูปแบบใหม่เกิดขึ้น มันจะสร้างความหายนะและความวิตกกังวลให้กับเหยื่อ ซอฟต์แวร์คุกคามที่ได้รับการขนานนามว่า Wisz Ransomware เป็นของตระกูล STOP Djvu Ransomware...

SaveFrom.net

Browser Hijackers, Rogue Websites
เว็บไซต์ Savefrom.net ได้รับการออกแบบมาเพื่อการดาวน์โหลดวิดีโอจากแพลตฟอร์มแบ่งปันวิดีโอยอดนิยม เช่น YouTube เพื่อเริ่มต้นกระบวนการดาวน์โหลด ผู้ใช้จะต้องป้อนลิงก์วิดีโอ เลือกรูปแบบที่ต้องการ...

Softcnapp

โปรแกรมที่อาจไม่เป็นที่ต้องการ, Adware, Browser Hijackers
Softcnapp เป็นโปรแกรมล่วงล้ำที่อาจมีความสามารถในการแทรกซึมอุปกรณ์อย่างลับๆ โดยที่ผู้ใช้ไม่รับรู้ แอปพลิเคชันดังกล่าวมักถูกเรียกว่า PUP (โปรแกรมที่อาจไม่เป็นที่ต้องการ)...

เข้าชมมากที่สุด

Lookmovie.io ปลอดภัยหรือไม่? สกรีนช็อต

Lookmovie.io ปลอดภัยหรือไม่?

Issue
41,771
Lookmovie.io เป็นเว็บไซต์สตรีมมิ่งวิดีโอ ปัญหาคือมีการนำเสนอเนื้อหาสำหรับการสตรีมอย่างผิดกฎหมาย นอกจากนี้ ไซต์ดังกล่าวยังสร้างรายได้จากเครือข่ายโฆษณาอันธพาลอีกด้วย ด้วยเหตุนี้...

'Geek Squad' อีเมลหลอกลวง

Phishing, Spam
36,927
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...
กำลังโหลด...