圖拉後門

Turla APT（高級持續威脅）是一個臭名昭著的俄羅斯黑客組織，它已經運營了十多年。它們也被稱為 Uroburos APT 或 Snake APT。他們以喜歡高端受害者而聞名。據報導，Turla APT 已經滲透到德國聯邦公共管理學院，然後通過它設法破壞了該國的聯邦外交部。此外，這不是一次性滲透；據披露，Turla APT 幾乎在整個 2017 年都受到德國當局的關注。在此期間，黑客組織正在竊取和收集政府數據。這個令人印象深刻的操作是使用 APT 的工具 Turla Backdoor 進行的。

三個歐洲國家報告了來自這個俄羅斯黑客組織的攻擊。目標再次是他們的外國辦事處。可以安全地假設 Turla APT 大量參與間諜活動，因為他們的主要目標一直是外交官、軍隊和國家當局以及政客。懷疑Turla APT可能與俄羅斯政府有關，但這一消息還有待證實。

Turla APT 的後門被認為起源於 2009 年。 然而，黑客組織多年來並沒有閒著，並對其後門進行了許多改進，例如威脅通過電子郵件附件的 PDF 文件接收命令的能力，它於 2016 年推出。2018 年，Turla APT 的後門添加了一項新功能 - 它已升級為能夠在受感染的主機上執行 PowerShell 命令。

此後門的最新版本具有滲透 Microsoft Outlook 的能力。有趣的是，Turla APT 並沒有使用應用程序中的漏洞，而是操縱 Microsoft Outlook 的合法 MAPI（消息應用程序編程接口），並通過它訪問其預期目標的直接消息。與通常通過犯罪者的命令和控制服務器接收命令的大多數後門不同，由於 2016 年引入的 Turla APT 的改進，Turla 後門是通過特製的電子郵件控制的。 Turla 後門能夠執行許多命令，其中包括它們正在收集數據並下載和執行各種文件。這個後門在它被植入的位置時並不太挑剔——Turla 後門採用 DLL 模塊（動態鏈接庫）的形式，能夠從硬盤驅動器中的任何位置運行。此外，Turla APT 使用 Windows 實用程序 (RegSvr32.exe) 在目標系統上安裝其後門。

當然，作為這種口徑的每一個高效威脅，Turla Backdoor也配備了強大的持久性。為了盡量減少被發現的機會，Turla 後門不會一直履行其“職責”。相反，它使用了一個關於組件對像模型 (COM) 的眾所周知的 Windows 漏洞。通過利用此漏洞，後門能夠將其實例注入合法的“outlook.exe”進程中，因此無需使用 DLL注入——一種防病毒產品可以輕鬆檢測到的攻擊媒介。

通過滲透到 Microsoft Outlook，Turla 後門能夠收集有關受害者消息活動的元數據——電子郵件主題、附件名稱、發件人和收件人。這些數據由 Turla 後門收集和存儲，並定期傳輸到攻擊者的服務器。像 Turla 後門這樣的威脅可能會造成很多損害，特別是如果攻擊者設法感染用於存儲敏感數據或通信的系統，並且很明顯 Turla APT 正是針對這些用戶的。

除了數據竊取之外，惡意軟件還可以被命令下載其他文件或執行損壞的 PowerShell 腳本。總之，Turla 後門是一種威脅，其功能與 Rootkit 接近。