Turla APT

Turla，也稱為“沉思的Ursa”、“Uroburos”和“Snake”，代表著一種源自俄羅斯的複雜高級持續威脅(APT)，其歷史至少可以追溯到2004 年，據稱與俄羅斯聯邦安全局(FSB) 有聯繫。 Turla 以其有針對性的入侵和尖端的隱形策略而聞名，贏得了強大而難以捉摸的對手的聲譽，在策劃隱蔽和隱形網絡攻擊方面展示了卓越的技術實力。

多年來，Turla 的業務範圍已擴展到超過 45 個國家，滲透到政府機構、外交使團、軍事機構以及教育、研究和製藥機構等各個領域。此外，根據烏克蘭 CERT 的報告，該組織還涉及與 2022 年 2 月爆發的俄羅斯-烏克蘭衝突相關的活動，表明針對烏克蘭國防利益的間諜活動。

儘管 Turla 的間諜活動主要集中在基於 Windows 的系統上，但它已經展示了針對 macOS 和 Linux 平台的能力。透過不懈的發展，Turla 累積了強大的惡意軟體工具庫，包括但不限於 Capibar、 Kazuar、 Snake 、 Kopiluwak 、QUIETCANARY/Tunnus、 Crutch 、 ComRAT 、 Carbon和HyperStack以及TinyTurla ，這些工具已被積極用於各種威脅活動。

Turla 開始瞄準 Linux 系統

到 2014 年，Turla 已經在網路環境中運行數年，但其感染方式仍然是個謎。同年進行的研究揭示了一種名為 Epic Turla 的複雜多階段攻擊，揭示了 Turla 對 Epic 惡意軟體系列的利用。該活動利用了漏洞 CVE-2013-5065 和 CVE-2013-3346，利用帶有 Adobe PDF 漏洞的魚叉式網路釣魚電子郵件以及採用 Java 漏洞的水坑技術 (CVE-2012-1723)。

活動的一個值得注意的方面是 Turla 部署了 Carbon/Cobra 等先進後門，偶爾將兩者用作故障轉移機制。

Turla 之前的業務主要針對 Windows 系統，但在 2014 年 8 月，隨著 Turla 首次涉足 Linux 領域，情況發生了變化。這項計劃被稱為 Penguin Turla，該團隊採用了 Linux Turla 模組，該模組具有與多個庫靜態連結的 C/C++ 可執行文件，顯著增加了該特定操作的文件大小。

Turla 在其攻擊行動中引入了新的惡意軟體威脅

2016 年，一個名為 Waterbug 的組織（據稱是國家資助的實體）利用Trojan.Turla和Trojan.Wipbot的變種來利用零日漏洞，專門針對 Windows 核心 NDProxy.sys 本地權限提升漏洞 (CVE-2013) -5065）。根據研究結果，攻擊者利用精心製作的包含不安全附件的電子郵件以及受感染的網站網路來傳遞其邪惡的有效負載。

第二年，研究人員發現了 Turla 惡意軟體的高級版本 - 一個被稱為 Carbon 的第二階段後門。碳攻擊的發起通常涉及受害者收到魚叉式網路釣魚電子郵件或偶然發現受感染的網站（俗稱水坑）。

隨後，安裝了 Tavdig 或Skipper等第一階段後門。完成偵察活動後，Carbon 框架會安排在關鍵系統上安裝第二階段後門。該框架包括一個負責安裝其設定檔的dropper、一個與命令和控制(C&C) 伺服器互動的通訊元件、一個用於管理任務和網路內橫向移動的編排器，以及一個用於執行編排器的載入器。

Turla 的 Kazuar 後門登場

2017 年 5 月，網路安全研究人員將新發現的後門木馬Kazuar與 Turla 組織聯繫起來。 Kazuar 使用 Microsoft .NET Framework 開發，擁有功能強大的命令集，能夠遠端載入其他外掛程式。

Kazuar 的操作方式是收集系統和惡意軟體檔案名稱訊息，建立互斥體以確保單一執行，並將 LNK 檔案新增至 Windows 啟動資料夾。

Kazuar 中的命令集與其他後門木馬中的命令集相似。例如，tasklist 指令利用 Windows Management Instrumentation (WMI) 查詢從 Windows 檢索正在執行的進程，而 info 指令收集有關開啟的視窗的資料。此外，Kazuar 的 cmd 指令在 Windows 系統中使用 cmd.exe，在 Unix 系統中使用 /bin/bash 執行指令，這表示其設計為針對 Windows 和 Unix 環境的跨平台惡意軟體。

2021 年初的進一步研究揭示了Sunburst和 Kazuar 後門之間的顯著相似之處。

2017 年將發生更多 Turla 攻擊活動

Turla 推出了一個新的第二階段後門，名為Gazer，用 C++ 編碼，利用水坑攻擊和魚叉式網路釣魚活動來精確定位受害者。

除了增強的隱身能力之外，Gazer 還與先前使用的 Carbon 和 Kazuar 等第二階段後門有許多相似之處。活動的一個顯著特點是在程式碼中整合了「電玩相關」句子。 Turla 透過使用其專有的 3DES 和 RSA 加密庫對其進行加密，確保了 Gazer 的命令與控制 (C&C) 伺服器的安全性。

Turla 整合了來自其他網路犯罪組織的威脅和基礎設施

2018 年，一份情報報告表明，Turla 採用了新開發的有害工具Neuron和Nautilus以及Snake Rootkit來針對 Windows 計算機，特別是郵件和 Web 伺服器。 Turla 利用受感染的 Snake 受害者掃描 ASPX shell，透過加密的 HTTP cookie 值傳輸指令。 Turla 利用 ASPX shell 建立對目標系統的初始訪問，以部署其他工具。

2018年，Turla再次將目光瞄準了歐洲各國政府的外交部，旨在透過後門滲透高度敏感的訊息。該活動針對 Microsoft Outlook 和 The Bat!（東歐廣泛使用的郵件用戶端），將所有外寄電子郵件重新導向至攻擊者。此後門利用電子郵件來提取數據，採用特製的 PDF 文檔，並利用電子郵件作為其命令與控制 (C&C) 伺服器的管道。

2019 年，Turla 業者利用 OilRig 的基礎設施進行自己的攻擊行動，OilRig 是一個與伊朗有關的 APT 組織，以中東政府實體和組織為目標而聞名。該活動涉及部署經過大量修改的自訂變體Mimikatz工具以及一系列具有多個新後門的新工具。在活動的後期階段，Turla 組織利用了一個獨特的遠端程序呼叫 (RPC) 後門，合併了可公開存取的 PowerShell Runner 工具中的程式碼，以在不依賴 powershell.exe 的情況下執行 PowerShell 腳本。

2020 年全年發布的新後門威脅

2020 年 3 月，安全分析師觀察到 Turla 採用水坑攻擊來針對眾多亞美尼亞網站。這些網站被注入了損壞的 JavaScript 程式碼，但攻擊中使用的精確存取方法仍未公開。

隨後，受感染的網頁分發了第二階段受感染的 JavaScript 程式碼，以識別受害者瀏覽器並誘騙他們安裝不良的 Flash 安裝程式。 Turla 隨後利用NetFlash （一種 .NET 下載程式）和PyFlash進行輔助惡意軟體部署。

幾個月後，Turla 採用ComRAT v4 （別名 Agent.BTZ）作為遠端存取木馬 (RAT)。該惡意軟體使用 C++ 製作，具有虛擬 FAT16 檔案系統，經常用於竊取敏感文件。它透過已建立的存取路由（例如PowerStallion PowerShell 後門）進行傳播，同時使用 HTTP 和電子郵件作為命令和控制 (C&C) 通道。

到 2020 年底，網路安全專家偶然發現了一個名為Crutch的無證後門和文件提取器，歸屬於 Turla 組織。 Crutch 的早期版本包含一個後門，透過官方 HTTP API 與預先確定的 Dropbox 帳戶進行通訊。

該後門能夠在 Google Chrome、Mozilla Firefox 或 Microsoft OneDrive 上透過 DLL 劫持來執行與檔案操作、進程執行和建立持久性相關的命令。值得注意的是，Crutch v4 擁有一個自動化功能，可以將本機和可移動磁碟機檔案上傳到 Dropbox 存儲，這由 Windows 版本的 Wget 實用程式提供便利，這與先前依賴後門命令的迭代不同。

Turla APT 集團發布 TinyTurla 惡意軟體並開始針對烏克蘭的資產

TinyTurla 後門的出現在 2021 年引起了人們的關注。這種威脅可能可以作為應急計劃，即使在主要惡意軟體被刪除的情況下也能持續存取系統。此後門的安裝是透過批次檔實現的，並表現為名為 w64time.dll 的服務 DLL，旨在模仿 Windows 平台上的合法 w32time.dll 檔案。

在俄羅斯入侵烏克蘭期間，圖爾拉 APT 將其重點轉向符合俄羅斯在衝突中利益的目標。烏克蘭電腦緊急應變小組 (CERT-UA) 於 2023 年 7 月發布的公告披露，Turla 利用 Capibar 惡意軟體和 Kazuar 後門針對烏克蘭國防資產開展間諜活動。在這次行動中，卡皮巴爾負責情報收集，而卡祖爾則專門從事憑證盜竊。此次攻擊主要透過網路釣魚活動針對外交和軍事實體。

TinyTurla-NG 和 Pelmeni Wrapper 的出現

到 2023 年底，Turla 威脅行為者被發現在為期三個月的活動中使用了名為 TinyTurla-NG 的新後門。這次襲擊行動專門針對波蘭的非政府組織。與前身類似， TinyTurla-NG充當緊湊的“最後手段”後門。它被策略性地部署為保持休眠狀態，直到受感染系統上的所有其他未經授權的存取或後門機制失敗或被發現。

2024 年 2 月，網路安全分析師發現了一場新的 Turla 活動，展示了創新策略和 Kazuar 特洛伊木馬的修改變體。在這次特定的攻擊行動中，Kazuar 威脅透過一個名為Pelmeni的先前未記錄的包裝程序分發給目標受害者。

儘管經過多年的詳細攻擊行動，Turla APT 仍然是一個主要的網路威脅

圖拉組織是持久而持久的對手，擁有悠久的活動記錄。他們的起源、戰術和目標選擇表明這是由熟練特工領導的資源充足的行動。多年來，Turla 不斷增強其工具和方法，並表明了對持續改進的承諾。

Turla 等組織所構成的威脅凸顯了組織和政府保持警惕的必要性。這需要隨時了解事態發展、交換情報並實施強有力的安全措施。這些積極主動的措施使團體和個人能夠加強防禦，抵禦此類行為者所構成的威脅。