Turla APT

Turla, còn được gọi là Pensive Ursa, Uroburos và Snake, đại diện cho một Mối đe dọa dai dẳng nâng cao (APT) tinh vi có nguồn gốc từ Nga, có lịch sử ít nhất là từ năm 2004 và có mối quan hệ có mục đích với Cơ quan An ninh Liên bang Nga (FSB). Nổi tiếng với các cuộc xâm nhập có chủ đích và chiến thuật tàng hình tiên tiến, Turla nổi tiếng là một đối thủ đáng gờm và khó nắm bắt, thể hiện năng lực kỹ thuật đặc biệt trong việc dàn dựng các cuộc tấn công mạng bí mật và lén lút.

Trong những năm qua, Turla đã mở rộng phạm vi hoạt động của mình trên hơn 45 quốc gia, thâm nhập vào nhiều lĩnh vực khác nhau như cơ quan chính phủ, cơ quan ngoại giao, cơ sở quân sự cũng như các tổ chức giáo dục, nghiên cứu và dược phẩm. Ngoài ra, nhóm này còn dính líu đến các hoạt động liên quan đến xung đột Nga-Ukraine nổ ra vào tháng 2 năm 2022, theo báo cáo từ CERT Ukraine, cho thấy các hoạt động gián điệp nhắm vào lợi ích quốc phòng của Ukraine.

Mặc dù Turla chủ yếu tập trung nỗ lực gián điệp vào các hệ thống dựa trên Windows, nhưng nó đã chứng tỏ được khả năng nhắm mục tiêu vào nền tảng macOS và Linux. Thông qua sự phát triển không ngừng, Turla đã tích lũy được một kho công cụ phần mềm độc hại đáng gờm, bao gồm nhưng không giới hạn ở Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon và HyperStack và TinyTurla , đã được sử dụng tích cực trong nhiều chiến dịch đe dọa khác nhau. .

Turla bắt đầu nhắm mục tiêu vào các hệ thống Linux

Vào năm 2014, Turla đã hoạt động trong lĩnh vực mạng được vài năm nhưng phương thức lây nhiễm của nó vẫn còn là một bí ẩn. Nghiên cứu được thực hiện trong cùng năm đã làm sáng tỏ một cuộc tấn công nhiều giai đoạn phức tạp có tên Epic Turla, tiết lộ cách Turla sử dụng dòng phần mềm độc hại Epic. Chiến dịch này đã khai thác các lỗ hổng CVE-2013-5065 và CVE-2013-3346, tận dụng các email lừa đảo trực tuyến được trang bị các công cụ khai thác Adobe PDF cùng với các kỹ thuật lỗ tưới nước sử dụng các công cụ khai thác Java (CVE-2012-1723).

Một khía cạnh đáng chú ý của chiến dịch này là việc Turla triển khai các cửa hậu tiên tiến như Carbon/Cobra, đôi khi sử dụng cả hai làm cơ chế chuyển đổi dự phòng.

Các hoạt động trước đây của Turla chủ yếu nhắm vào các hệ thống Windows, nhưng vào tháng 8 năm 2014, cục diện đã thay đổi khi Turla lần đầu tiên mạo hiểm thâm nhập vào lãnh thổ Linux. Được biết đến với cái tên Penguin Turla, sáng kiến này cho thấy nhóm sử dụng mô-đun Linux Turla có tính năng thực thi C/C++ được liên kết tĩnh với nhiều thư viện, tăng đáng kể kích thước tệp cho hoạt động cụ thể này.

Turla giới thiệu các mối đe dọa phần mềm độc hại mới trong hoạt động tấn công của nó

Vào năm 2016, một nhóm có tên Waterbug, được cho là một thực thể được nhà nước bảo trợ, đã sử dụng các biến thể của Trojan.Turla và Trojan.Wipbot để khai thác lỗ hổng zero-day, đặc biệt nhắm vào lỗ hổng leo thang đặc quyền cục bộ Windows Kernel NDProxy.sys (CVE-2013) -5065). Theo kết quả nghiên cứu, những kẻ tấn công đã sử dụng các email được tạo thủ công tỉ mỉ chứa các tệp đính kèm không an toàn cùng với mạng lưới các trang web bị xâm nhập để phân phối tải trọng bất chính của chúng.

Năm sau, các nhà nghiên cứu đã phát hiện ra một phiên bản nâng cao của phần mềm độc hại Turla - cửa hậu giai đoạn hai được xác định là Carbon. Việc bắt đầu một cuộc tấn công Carbon thường liên quan đến việc nạn nhân nhận được email lừa đảo trực tuyến hoặc tình cờ truy cập được một trang web bị xâm nhập, thường được gọi là hố tưới nước.

Sau đó, cửa hậu giai đoạn đầu tiên như Tavdig hoặc Skipper sẽ được cài đặt. Sau khi hoàn thành các hoạt động trinh sát, khung Carbon sẽ điều phối việc cài đặt cửa hậu giai đoạn hai trên các hệ thống quan trọng. Khung này bao gồm một trình nhỏ giọt chịu trách nhiệm cài đặt tệp cấu hình của nó, một thành phần giao tiếp để tương tác với máy chủ Lệnh và Điều khiển (C&C), một bộ điều phối để quản lý các tác vụ và chuyển động ngang trong mạng và một bộ tải để thực thi bộ điều phối.

Cửa sau Kazuar của Turla xuất hiện

Vào tháng 5 năm 2017, các nhà nghiên cứu an ninh mạng đã liên kết một Trojan cửa sau mới được phát hiện, Kazuar, với nhóm Turla. Được phát triển bằng Microsoft .NET Framework, Kazuar tự hào có bộ lệnh có chức năng cao có khả năng tải các plug-in bổ sung từ xa.

Kazuar hoạt động bằng cách thu thập thông tin tên tệp phần mềm độc hại và hệ thống, thiết lập một mutex để đảm bảo thực thi đơn lẻ và thêm tệp LNK vào thư mục khởi động Windows.

Các bộ lệnh trong Kazuar có sự tương đồng với các bộ lệnh được tìm thấy trong các Trojan cửa sau khác. Ví dụ: lệnh danh sách tác vụ sử dụng truy vấn Công cụ quản lý Windows (WMI) để truy xuất các tiến trình đang chạy từ Windows, trong khi lệnh thông tin thu thập dữ liệu trên các cửa sổ đang mở. Hơn nữa, lệnh cmd của Kazuar thực thi các lệnh bằng cmd.exe cho hệ thống Windows và /bin/bash cho hệ thống Unix, cho thấy thiết kế của nó là một phần mềm độc hại đa nền tảng nhắm mục tiêu vào cả môi trường Windows và Unix.

Nghiên cứu sâu hơn vào đầu năm 2021 đã tiết lộ những điểm tương đồng đáng chú ý giữa cửa hậu Sunburst và Kazuar.

Các chiến dịch tấn công Turla khác diễn ra vào năm 2017

Turla đã giới thiệu một cửa hậu giai đoạn hai mới có tên Gazer, được mã hóa bằng C++, tận dụng các cuộc tấn công lỗ nước và các chiến dịch lừa đảo để nhắm mục tiêu chính xác vào nạn nhân.

Ngoài khả năng tàng hình được nâng cao, Gazer còn thể hiện nhiều điểm tương đồng với các cửa hậu giai đoạn hai được sử dụng trước đây như Carbon và Kazuar. Một tính năng đáng chú ý của chiến dịch này là việc tích hợp các câu 'liên quan đến trò chơi điện tử' trong mã. Turla bảo mật máy chủ Chỉ huy và Điều khiển (C&C) của Gazer bằng cách mã hóa nó bằng thư viện độc quyền để mã hóa 3DES và RSA.

Turla kết hợp các mối đe dọa và cơ sở hạ tầng từ các nhóm tội phạm mạng khác

Vào năm 2018, một báo cáo tình báo chỉ ra rằng Turla đã sử dụng các công cụ độc hại mới được phát triển, Neuron và Nautilus , cùng với Snake Rootkit , để nhắm mục tiêu vào các máy Windows, đặc biệt tập trung vào máy chủ thư và Web. Turla sử dụng các nạn nhân của Snake bị xâm nhập để quét shell ASPX, truyền lệnh thông qua các giá trị cookie HTTP được mã hóa. Turla đã tận dụng các shell ASPX để thiết lập quyền truy cập ban đầu vào các hệ thống đích nhằm triển khai các công cụ bổ sung.

Một lần nữa vào năm 2018, Turla nhắm đến các văn phòng nước ngoài của các chính phủ châu Âu, nhằm mục đích xâm nhập vào những thông tin có độ nhạy cảm cao thông qua cửa sau. Chiến dịch này nhắm mục tiêu vào Microsoft Outlook và The Bat!, một ứng dụng thư khách được sử dụng rộng rãi ở Đông Âu, chuyển hướng tất cả các email gửi đi đến những kẻ tấn công. Cửa sau đã sử dụng các tin nhắn email để trích xuất dữ liệu, sử dụng các tài liệu PDF được tạo ra đặc biệt và sử dụng các tin nhắn email làm đường dẫn cho máy chủ Chỉ huy và Kiểm soát (C&C) của nó.

Năm 2019, các nhà khai thác Turla đã khai thác cơ sở hạ tầng của OilRig, một nhóm APT liên kết với Iran chuyên nhắm mục tiêu vào các thực thể và tổ chức chính phủ ở Trung Đông, để tiến hành các hoạt động tấn công của riêng họ. Chiến dịch này liên quan đến việc triển khai một biến thể tùy chỉnh, được sửa đổi nhiều của công cụ Mimikatz cùng với một loạt công cụ mới có một số cửa hậu mới. Trong các giai đoạn sau của chiến dịch, nhóm Turla đã sử dụng một cửa sau Lệnh gọi thủ tục từ xa (RPC) riêng biệt, kết hợp mã từ công cụ PowerShell Runner có thể truy cập công khai để thực thi các tập lệnh PowerShell mà không cần dựa vào powershell.exe.

Các mối đe dọa cửa sau mới được phát hành trong suốt năm 2020

Vào tháng 3 năm 2020, các nhà phân tích bảo mật đã quan sát thấy Turla sử dụng các cuộc tấn công lỗ tưới nước để nhắm mục tiêu vào nhiều trang web của Armenia. Các trang web này đã bị chèn mã JavaScript bị hỏng, mặc dù các phương thức truy cập chính xác được sử dụng trong các cuộc tấn công vẫn chưa được tiết lộ.

Sau đó, các trang web bị xâm nhập đã phân phối mã JavaScript bị xâm phạm giai đoạn hai để xác định trình duyệt nạn nhân và dụ họ cài đặt trình cài đặt Flash xấu. Turla sau đó đã tận dụng NetFlash , một trình tải xuống .NET và PyFlash để triển khai phần mềm độc hại thứ cấp.

Vài tháng sau, Turla sử dụng ComRAT v4 , bí danh Agent.BTZ, làm Trojan truy cập từ xa (RAT). Phần mềm độc hại này, được tạo bằng C++, có hệ thống tệp FAT16 ảo thường được sử dụng để lấy cắp các tài liệu nhạy cảm. Nó được phổ biến thông qua các tuyến truy cập đã được thiết lập như cửa sau PowerStallion PowerShell trong khi sử dụng HTTP và email làm kênh Lệnh và Điều khiển (C&C).

Vào cuối năm 2020, các chuyên gia an ninh mạng đã tình cờ phát hiện ra một công cụ trích xuất tài liệu và cửa hậu không có giấy tờ có tên là Crutch , được cho là của nhóm Turla. Các phiên bản trước của Crutch bao gồm một cửa hậu liên lạc với tài khoản Dropbox được xác định trước thông qua API HTTP chính thức.

Cửa hậu này sở hữu khả năng thực thi các lệnh liên quan đến thao tác tệp, thực thi quy trình và thiết lập tính bền vững thông qua việc chiếm quyền điều khiển DLL trên Google Chrome, Mozilla Firefox hoặc Microsoft OneDrive. Đáng chú ý, Crutch v4 tự hào có tính năng tự động tải các tệp ổ đĩa cục bộ và di động lên bộ lưu trữ Dropbox, được hỗ trợ bởi phiên bản Windows của tiện ích Wget, không giống như các phiên bản trước đó phụ thuộc vào các lệnh cửa sau.

Nhóm APT Turla phát hiện phần mềm độc hại TinyTurla và bắt đầu nhắm mục tiêu vào các tài sản ở Ukraine

Sự xuất hiện của cửa hậu TinyTurla đã thu hút sự chú ý vào năm 2021. Mối đe dọa này có thể đóng vai trò như một kế hoạch dự phòng, cho phép truy cập liên tục vào hệ thống ngay cả trong trường hợp loại bỏ phần mềm độc hại chính. Việc cài đặt cửa sau này được thực hiện thông qua một tệp bó và biểu hiện dưới dạng DLL dịch vụ có tên w64time.dll, nhằm mục đích bắt chước tệp w32time.dll hợp pháp trên nền tảng Windows.

Trong bối cảnh Nga xâm lược Ukraine, Turla APT đã chuyển hướng tập trung vào các mục tiêu phù hợp với lợi ích của Nga trong cuộc xung đột. Một thông báo từ Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) vào tháng 7 năm 2023 đã tiết lộ việc Turla sử dụng phần mềm độc hại Capibar và cửa sau Kazuar cho các hoạt động gián điệp nhắm vào tài sản quốc phòng của Ukraine. Trong hoạt động này, Capibar được thuê để thu thập thông tin tình báo trong khi Kazuar chuyên đánh cắp thông tin xác thực. Cuộc tấn công chủ yếu nhắm vào các tổ chức ngoại giao và quân sự thông qua các chiến dịch lừa đảo.

Sự xuất hiện của TinyTurla-NG và Pelmeni Wrapper

Vào cuối năm 2023, người ta quan sát thấy kẻ tấn công Turla đang sử dụng một cửa hậu mới có tên TinyTurla-NG trong một chiến dịch kéo dài ba tháng. Hoạt động tấn công đặc biệt nhắm vào các tổ chức phi chính phủ ở Ba Lan. Tương tự như người tiền nhiệm của nó, TinyTurla-NG hoạt động như một cửa hậu 'cuối cùng' nhỏ gọn. Nó được triển khai một cách chiến lược để không hoạt động cho đến khi tất cả các cơ chế truy cập trái phép hoặc cửa sau khác trên các hệ thống bị xâm nhập không thành công hoặc bị phát hiện.

Vào tháng 2 năm 2024, các nhà phân tích an ninh mạng đã phát hiện ra một chiến dịch Turla mới giới thiệu các chiến lược đổi mới và một biến thể sửa đổi của Trojan Kazuar. Trong hoạt động tấn công cụ thể này, mối đe dọa Kazuar đã được phân phối đến các nạn nhân mục tiêu thông qua một trình bao bọc không có giấy tờ trước đó có tên là Pelmeni .

Turla APT vẫn là mối đe dọa mạng lớn bất chấp nhiều năm hoạt động tấn công chi tiết

Nhóm Turla được coi là một đối thủ dai dẳng và lâu dài, tự hào với thành tích hoạt động lâu dài. Nguồn gốc, chiến thuật và việc lựa chọn mục tiêu của chúng cho thấy đây là một hoạt động có nguồn lực tốt do các đặc vụ lão luyện chỉ huy. Trong những năm qua, Turla đã liên tục nâng cao các công cụ và phương pháp của mình, thể hiện cam kết không ngừng cải tiến.

Mối đe dọa do các nhóm như Turla đặt ra nhấn mạnh yêu cầu các tổ chức và chính phủ phải duy trì cảnh giác. Điều này đòi hỏi phải theo kịp sự phát triển, trao đổi thông tin tình báo và thực hiện các biện pháp an ninh mạnh mẽ. Các bước chủ động như vậy cho phép cả nhóm và cá nhân tăng cường phòng thủ trước các mối đe dọa do những tác nhân đó gây ra.