Turla APT
Ang Turla, na kilala rin bilang Pensive Ursa, Uroburos, at Snake, ay kumakatawan sa isang sopistikadong Advanced Persistent Threat (APT) na nagmula sa Russia, na may kasaysayang itinayo noong hindi bababa sa 2004 at sinasabing may kaugnayan sa Russian Federal Security Service (FSB). Kilala sa mga naka-target na panghihimasok at makabagong taktika ng pagnanakaw, ang Turla ay nakakuha ng reputasyon bilang isang mabigat at mailap na kalaban, na nagpapakita ng pambihirang teknikal na kahusayan sa pag-orkestra ng mga tago at palihim na pag-atake sa cyber.
Sa paglipas ng mga taon, pinalawak ng Turla ang pag-abot nito sa higit sa 45 bansa, na pumapasok sa magkakaibang hanay ng mga sektor tulad ng mga ahensya ng gobyerno, mga diplomatikong misyon, mga establisyimento ng militar, pati na rin ang mga institusyong pang-edukasyon, pananaliksik at parmasyutiko. Bukod pa rito, nadawit ang grupo sa mga aktibidad na nauugnay sa salungatan ng Russia-Ukraine na sumiklab noong Pebrero 2022, ayon sa mga ulat mula sa Ukraine CERT, na nagsasaad ng mga operasyon ng espiya na nakadirekta sa mga interes ng depensa ng Ukraine.
Bagama't higit na nakatuon ang Turla sa mga pagsusumikap sa pag-espiya sa mga sistemang nakabatay sa Windows, nagpakita ito ng mga kakayahan na i-target ang mga platform ng macOS at Linux. Sa pamamagitan ng walang humpay na pag-unlad, ang Turla ay nakaipon ng isang mabigat na arsenal ng mga tool sa malware, kabilang ngunit hindi limitado sa Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon at HyperStack at TinyTurla , na aktibong ginamit sa iba't ibang nagbabantang kampanya .
Talaan ng mga Nilalaman
Sinimulan ni Turla ang Pag-target sa Linux Systems
Sa pamamagitan ng 2014, ang Turla ay tumatakbo na sa cyber landscape sa loob ng ilang taon, ngunit ang paraan ng impeksyon nito ay nanatiling isang misteryo. Ang pananaliksik na isinagawa sa parehong taon ay nagbigay-liwanag sa isang sopistikadong multi-stage na pag-atake na tinawag na Epic Turla, na nagbubunyag ng paggamit ni Turla sa pamilya ng Epic malware. Sinamantala ng kampanyang ito ang mga kahinaan na CVE-2013-5065 at CVE-2013-3346, na ginagamit ang mga email ng spear-phishing na armado ng mga pagsasamantala ng Adobe PDF kasama ng mga watering-hole technique na gumagamit ng Java exploits (CVE-2012-1723).
Ang isang kapansin-pansing aspeto ng kampanyang ito ay ang pag-deploy ni Turla ng mga advanced na backdoors tulad ng Carbon/Cobra, paminsan-minsan ay ginagamit ang pareho bilang mekanismo ng failover.
Ang mga naunang operasyon ng Turla ay higit na naka-target sa mga sistema ng Windows, ngunit noong Agosto 2014, ang tanawin ay lumipat habang ang Turla ay nakipagsapalaran sa teritoryo ng Linux sa unang pagkakataon. Kilala bilang Penguin Turla, nakita ng inisyatiba na ito ang grupo na gumagamit ng Linux Turla module na nagtatampok ng C/C++ executable statically linked laban sa maraming library, na makabuluhang pinapataas ang laki ng file nito para sa partikular na operasyong ito.
Ipinakilala ng Turla ang Mga Bagong Banta sa Malware sa Mga Operasyon ng Pag-atake Nito
Noong 2016, isang grupo na kilala bilang Waterbug, na sinasabing isang entity na itinataguyod ng estado, ay gumamit ng mga variant ng Trojan.Turla at Trojan.Wipbot upang pagsamantalahan ang isang zero-day na kahinaan, partikular na tina-target ang Windows Kernel NDProxy.sys local privilege escalation vulnerability (CVE-2013). -5065). Ayon sa mga natuklasan sa pananaliksik, ang mga umaatake ay gumamit ng masusing ginawang mga email na naglalaman ng mga hindi ligtas na mga attachment kasama ng isang network ng mga nakompromisong website upang maihatid ang kanilang mga karumal-dumal na payload.
Nang sumunod na taon, natuklasan ng mga mananaliksik ang isang advanced na pag-ulit ng Turla malware - isang pangalawang yugto ng backdoor na kinilala bilang Carbon. Ang pagsisimula ng pag-atake sa Carbon ay kadalasang kinasasangkutan ng biktima na makatanggap ng spear-phishing na email o natitisod sa isang nakompromisong website, na karaniwang kilala bilang watering hole.
Kasunod nito, naka-install ang isang backdoor sa unang yugto tulad ng Tavdig o Skipper . Sa pagkumpleto ng mga aktibidad sa reconnaissance, inaayos ng Carbon framework ang pag-install ng second-stage backdoor nito sa mga kritikal na sistema. Binubuo ang framework na ito ng dropper na responsable sa pag-install ng configuration file nito, isang bahagi ng komunikasyon upang makipag-ugnayan sa Command and Control (C&C) server, isang orchestrator para sa pamamahala ng mga gawain at lateral na paggalaw sa loob ng network, at isang loader para sa pag-execute ng orchestrator.
Pumasok sa Eksena ang Kazuar Backdoor ni Turla
Noong Mayo 2017, iniugnay ng mga mananaliksik sa cybersecurity ang isang bagong natuklasang backdoor na Trojan, Kazuar, sa grupong Turla. Binuo gamit ang Microsoft .NET Framework, ipinagmamalaki ng Kazuar ang mataas na functional na command set na may kakayahang mag-load nang malayuan ng mga karagdagang plug-in.
Gumagana ang Kazuar sa pamamagitan ng pangangalap ng impormasyon sa pangalan ng file ng system at malware, na nagtatag ng isang mutex upang matiyak ang singular na pagpapatupad at pagdaragdag ng isang LNK file sa Windows startup folder.
Ang command set sa loob ng Kazuar ay nagpapakita ng mga pagkakahawig sa mga matatagpuan sa ibang backdoor Trojans. Halimbawa, ang tasklist command ay gumagamit ng isang Windows Management Instrumentation (WMI) query para kunin ang mga tumatakbong proseso mula sa Windows, habang ang info command ay nangongolekta ng data sa mga bukas na window. Bukod dito, ang cmd command ng Kazuar ay nagpapatupad ng mga command gamit ang cmd.exe para sa mga Windows system at /bin/bash para sa mga Unix system, na nagpapahiwatig ng disenyo nito bilang cross-platform na malware na nagta-target sa parehong Windows at Unix na kapaligiran.
Ang karagdagang pananaliksik sa unang bahagi ng 2021 ay naglabas ng mga kapansin-pansing pagkakatulad sa pagitan ng Sunburst at Kazuar backdoors.
Marami pang Turla Attack Campaign na Nagaganap sa 2017
Ipinakilala ni Turla ang isang bagong backdoor sa pangalawang yugto na tinatawag na Gazer, na naka-code sa C++, na gumagamit ng mga watering-hole attack at spear-phishing na kampanya upang tumpak na ma-target ang mga biktima.
Bilang karagdagan sa mga pinahusay na kakayahan sa stealth, ang Gazer ay nagpakita ng maraming pagkakahawig sa dating ginamit na mga backdoor sa pangalawang yugto tulad ng Carbon at Kazuar. Ang isang kapansin-pansing tampok ng kampanyang ito ay ang pagsasama ng mga pangungusap na 'kaugnay ng video-game' sa loob ng code. Na-secure ni Turla ang server ng Command and Control (C&C) ng Gazer sa pamamagitan ng pag-encrypt nito gamit ang proprietary library nito para sa 3DES at RSA encryption.
Isinasama ni Turla ang mga Banta at Imprastraktura mula sa Iba pang mga Cybercrime Group
Noong 2018, ipinahiwatig ng isang intelligence report na gumamit si Turla ng mga bagong binuo na mapaminsalang tool, Neuron at Nautilus , kasama ng Snake Rootkit , upang i-target ang mga Windows machine, na may partikular na pagtuon sa mail at mga Web server. Ginamit ni Turla ang mga nakompromisong biktima ng Snake upang mag-scan ng mga shell ng ASPX, na nagpapadala ng mga command sa pamamagitan ng mga naka-encrypt na halaga ng cookie ng HTTP. Ginamit ni Turla ang mga shell ng ASPX upang magtatag ng paunang pag-access sa mga target na system para sa pag-deploy ng mga karagdagang tool.
Muli sa 2018, tinuon ni Turla ang mga dayuhang tanggapan ng mga pamahalaan sa Europa, na naglalayong makalusot ng napakasensitibong impormasyon sa pamamagitan ng backdoor. Ang kampanyang ito ay naka-target sa Microsoft Outlook at The Bat!, isang malawakang ginagamit na mail client sa Silangang Europa, na nagre-redirect sa lahat ng papalabas na email sa mga umaatake. Gumamit ang backdoor ng mga mensaheng email upang kunin ang data, gamit ang mga espesyal na ginawang PDF na dokumento at paggamit ng mga mensaheng email bilang isang conduit para sa Command and Control (C&C) server nito.
Noong 2019, sinamantala ng mga operator ng Turla ang imprastraktura ng OilRig, isang APT group na nauugnay sa Iran na kilala sa pag-target sa mga entidad at organisasyon ng gobyerno sa Middle East, upang magsagawa ng kanilang sariling mga operasyon sa pag-atake. Kasama sa campaign na ito ang pag-deploy ng isang mabigat na binagong, custom na variant ng Mimikatz tool kasama ng isang bagong hanay ng mga tool na nagtatampok ng ilang sariwang backdoors. Sa mga huling yugto ng kampanya, ginamit ng pangkat ng Turla ang isang natatanging Remote Procedure Call (RPC) na backdoor, na nagsasama ng code mula sa tool na PowerShell Runner na naa-access ng publiko upang magsagawa ng mga script ng PowerShell nang hindi umaasa sa powershell.exe.
Mga Bagong Banta sa Backdoor na Inilabas sa Buong 2020
Noong Marso 2020, napagmasdan ng mga security analyst ang Turla na gumagamit ng watering-hole attack upang i-target ang maraming website ng Armenian. Ang mga website na ito ay na-injected ng sirang JavaScript code, bagama't ang mga tumpak na paraan ng pag-access na ginamit sa mga pag-atake ay nananatiling hindi isiniwalat.
Kasunod nito, ang mga nakompromisong web page ay namahagi ng pangalawang yugto ng nakompromisong JavaScript code upang matukoy ang mga browser ng biktima at hikayatin silang mag-install ng masamang Flash installer. Pagkatapos ay ginamit ni Turla ang NetFlash , isang .NET downloader, at PyFlash para sa pangalawang pag-deploy ng malware nito.
Pagkalipas ng ilang buwan, ginamit ni Turla ang ComRAT v4 , alias Agent.BTZ, bilang Remote Access Trojan (RAT). Ang malware na ito, na ginawa gamit ang C++, ay nagtatampok ng virtual na FAT16 file system na kadalasang ginagamit para sa pag-exfiltrate ng mga sensitibong dokumento. Ito ay ipinapalaganap sa pamamagitan ng itinatag na mga ruta ng pag-access tulad ng PowerStallion PowerShell backdoor habang gumagamit ng HTTP at email bilang Command and Control (C&C) na mga channel.
Sa pagtatapos ng 2020, nakita ng mga eksperto sa cybersecurity ang isang hindi dokumentadong backdoor at document extractor na pinangalanang Crutch , na iniuugnay sa Turla group. Kasama sa mga naunang bersyon ng Crutch ang backdoor na nakikipag-ugnayan sa isang paunang natukoy na Dropbox account sa pamamagitan ng opisyal na HTTP API.
Ang backdoor na ito ay nagtataglay ng mga kakayahan upang magsagawa ng mga utos na may kaugnayan sa pagmamanipula ng file, pagpapatupad ng proseso, at pagtatatag ng pagtitiyaga sa pamamagitan ng pag-hijack ng DLL sa Google Chrome, Mozilla Firefox o Microsoft OneDrive. Kapansin-pansin, ipinagmamalaki ng Crutch v4 ang isang awtomatikong tampok upang mag-upload ng mga lokal at naaalis na mga file ng drive sa imbakan ng Dropbox, na pinadali ng bersyon ng Windows ng utility ng Wget, hindi tulad ng mga nakaraang pag-ulit na umaasa sa mga utos sa backdoor.
Inilabas ng Turla APT Group ang TinyTurla Malware at Sinimulan ang Pag-target ng Mga Asset sa Ukraine
Napansin ang paglitaw ng TinyTurla backdoor noong 2021. Malamang na nagsisilbing contingency plan ang bantang ito, na nagbibigay-daan sa patuloy na pag-access sa mga system kahit na sa kaganapan ng pangunahing pag-alis ng malware. Ang pag-install ng backdoor na ito ay pinadali sa pamamagitan ng isang batch file at ipinapakita bilang isang serbisyong DLL na pinangalanang w64time.dll, na naglalayong gayahin ang lehitimong w32time.dll file sa mga platform ng Windows.
Sa gitna ng pagsalakay ng Russia sa Ukraine, inilipat ng Turla APT ang pokus nito patungo sa mga target na nakahanay sa mga interes ng Russia sa labanan. Isang anunsyo mula sa Computer Emergency Response Team ng Ukraine (CERT-UA) noong Hulyo 2023 ang nagbubunyag ng paggamit ni Turla sa Capibar malware at Kazuar backdoor para sa mga aktibidad ng espiya na nagta-target sa mga asset ng depensa ng Ukraine. Sa operasyong ito, si Capibar ay nagtatrabaho para sa intelligence gathering habang si Kazuar ay nagdadalubhasa sa pagnanakaw ng kredensyal. Ang pag-atake ay pangunahing naka-target sa mga entidad ng diplomatiko at militar sa pamamagitan ng mga kampanyang phishing.
Ang Paglabas ng TinyTurla-NG at Pelmeni Wrapper
Sa pagtatapos ng 2023, napagmasdan ang Turla threat actor na gumamit ng bagong backdoor na pinangalanang TinyTurla-NG sa isang campaign na sumasaklaw ng tatlong buwan. Ang operasyon ng pag-atake ay partikular na naka-target sa mga non-government na organisasyon sa Poland. Katulad ng hinalinhan nito, ang TinyTurla-NG ay gumaganap bilang isang compact na 'last resort' na backdoor. Ito ay madiskarteng itinalaga upang manatiling tulog hanggang ang lahat ng iba pang hindi awtorisadong pag-access o backdoor na mekanismo sa mga nakompromisong system ay nabigo o natuklasan.
Noong Pebrero 2024, nakahukay ang mga cybersecurity analyst ng bagong Turla campaign na nagpapakita ng mga makabagong estratehiya at isang binagong variant ng Kazuar Trojan. Sa partikular na operasyong pag-atake na ito, ang banta ng Kazuar ay ipinamahagi sa mga target na biktima sa pamamagitan ng isang dati nang hindi dokumentadong wrapper na pinangalanang Pelmeni .
Ang Turla APT ay Nananatiling Pangunahing Cyberthreat Sa kabila ng Mga Taon ng Detalyadong Operasyon ng Pag-atake
Ang grupo ng Turla ay nakatayo bilang isang matiyaga at matibay na kalaban, na ipinagmamalaki ang isang mahabang track record ng mga aktibidad. Ang kanilang mga pinagmulan, taktika, at pagpili ng mga target ay nagmumungkahi ng isang mahusay na mapagkukunang operasyon na pinamumunuan ng mga mahuhusay na operatiba. Sa paglipas ng mga taon, patuloy na pinahusay ng Turla ang mga tool at pamamaraan nito, na nagpapahiwatig ng pangako sa patuloy na pagpipino.
Ang banta na dulot ng mga grupo tulad ng Turla ay binibigyang-diin ang pangangailangan para sa mga organisasyon at pamahalaan na mapanatili ang pagbabantay. Nangangailangan ito ng pananatiling nakasubaybay sa mga pag-unlad, pagpapalitan ng katalinuhan, at pagpapatupad ng matatag na mga hakbang sa seguridad. Ang ganitong mga proactive na hakbang ay nagbibigay-daan sa parehong mga grupo at indibidwal na palakasin ang kanilang mga depensa laban sa mga banta na dulot ng mga naturang aktor.
