图拉后门

Turla APT（高级持续威胁）是一个臭名昭著的俄罗斯黑客组织，它已经运营了十多年。它们也被称为 Uroburos APT 或 Snake APT。他们以喜欢高端受害者而闻名。据报道，Turla APT 已经渗透到德国联邦公共管理学院，然后通过它设法破坏了该国的联邦外交部。此外，这不是一次性渗透；据透露，Turla APT 几乎在整个 2017 年都在德国当局的监视之下。在此期间，黑客组织正在窃取和收集政府数据。这个令人印象深刻的操作是使用 APT 的工具 Turla Backdoor 进行的。

三个欧洲国家报告了来自这个俄罗斯黑客组织的攻击。目标再次是他们的外国办事处。可以安全地假设 Turla APT 大量参与间谍活动，因为他们的主要目标一直是外交官、军队和国家当局以及政客。怀疑Turla APT可能与俄罗斯政府有关，但这一消息还有待证实。

Turla APT 的后门被认为起源于 2009 年。 然而，黑客组织多年来并没有闲着，并对其后门进行了许多改进，例如威胁通过电子邮件附件的 PDF 文件接收命令的能力，该功能于 2016 年推出。2018 年，Turla APT 的后门添加了一项新功能 - 它已升级为能够在受感染的主机上执行 PowerShell 命令。

此后门的最新版本具有渗透 Microsoft Outlook 的能力。有趣的是，Turla APT 并没有使用应用程序中的漏洞，而是操纵 Microsoft Outlook 的合法 MAPI（消息应用程序编程接口），并通过它访问其预期目标的直接消息。与通常通过犯罪者的命令和控制服务器接收命令的大多数后门不同，由于 2016 年引入的 Turla APT 的改进，Turla 后门是通过特制的电子邮件控制的。 Turla 后门能够执行许多命令，其中包括它们正在收集数据并下载和执行各种文件。这个后门在它被植入的位置时并不太挑剔——Turla 后门采用 DLL 模块（动态链接库）的形式，能够从硬盘驱动器中的任何位置运行。此外，Turla APT 使用 Windows 实用程序 (RegSvr32.exe) 在目标系统上安装其后门。

当然，作为这种口径的每一个高效威胁，Turla Backdoor也配备了强大的持久性。为了尽量减少被发现的机会，Turla 后门不会一直履行其“职责”。相反，它使用了一个关于组件对象模型 (COM) 的众所周知的 Windows 漏洞。通过利用此漏洞，后门能够将其实例注入合法的“outlook.exe”进程中，因此无需使用 DLL注入——一种防病毒产品可以轻松检测到的攻击媒介。

通过渗透到 Microsoft Outlook，Turla 后门能够收集有关受害者消息活动的元数据——电子邮件主题、附件名称、发件人和收件人。这些数据由 Turla 后门收集和存储，并定期传输到攻击者的服务器。像 Turla 后门这样的威胁可能会造成很多损害，特别是如果攻击者设法感染用于存储敏感数据或通信的系统，并且很明显 Turla APT 正是针对这些用户的。

除了数据窃取之外，恶意软件还可以被命令下载其他文件或执行损坏的 PowerShell 脚本。总之，Turla 后门是一种威胁，其功能与 Rootkit 接近。