分手不再是朋友,疑似俄间谍组织Turla攻击东欧国家大使馆
E安全1月11日讯 网络安全公司ESET近期发布长达29页的报告指出,网络间谍组织Turla正利用新骗术瞄准东欧国家大使馆和领事馆的员工,诱骗目标受害者安装恶意软件以窃取数据。
恶意软件看似来自官方Adobe服务器
ESET公司在报告中指出,除了将后门与合法Flash Player安装程序捆绑在一起之外,Turla组织使用的URL及IP地址来自Adobe的合法基础设施,从而让受害者误以为自己在下载合法软件。
据信,此次瞄准东欧国家大使馆和领事馆员工的攻击者于2016年7月开始使用植入“蚊子”(Mosquito)后门的Flasher安装程序发起攻击,这些攻击与Turla组织过去传播其它恶意软件的行径存在诸多相似之处,且同该组织此前曾使用的IP地址存在关联。
ESET方面指出,目前尚未发现Turla的恶意软件真正感染任何合法Flash Player更新的迹象,亦未发现其与任何已知Adobe产品漏洞存在关系。
潜在攻击场景,最可能发生ISP级别的攻击
ESET研究人员们指出,潜在攻击途径可能包括:
一、劫持受害者组织机构网络内的设备,利用其充当中间人(简称MitM)攻击的跳板。
二、攻击者可能入侵目标网关,借此拦截组织内网与互联网之间的所有输入与输出流量。
三、流量拦截同样可能发生在互联网服务供应商(简称ISP)身上,这是FinFiher间谍软件在监控活动中使用的一项策略。
四、攻击者可能已利用边界网关协议(简称BGP)劫持将流量重新路由至Turla控制的服务器,不过ESET方面指出该策略可能很快触发Adobe或BGP监控服务的警报。
研究人员指出,最有可能发生第三种攻击场景,因为过去曾发生过ISP级的中间人攻击。
攻击细节
一旦用户下载并启动虚假的Flash安装程序,攻击过程由此开始。安装程序开始会在目标设备上释放Turla后门,它可能是“蚊子”,也可能是一款Win32恶意软件,亦可能是与Web应用程序(托管在Google Apps Script之上的)通信的恶意JavaScript文件,或从虚假Adobe URL处下载的未知文件。
之后,攻击者即可开始窃取敏感数据,包含受感染计算机的唯一ID、用户名以及设备上已安装的安全产品列表。不过在MacOS平台上,Turla的Snake后门仅能窃取用户名与设备名称。
伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序可能嵌入到其伪造的对象中,或者从 Google Drive 网址下载。
ESET研究人员报告称,目前已经发现了“蚊子”后门的新样本。据报告,新样本利用自定义加密器进行混淆,这使得恶意软件研究人员及安全软件更难以分析其代码内容。
为了在系统上持久驻留,该安装程序还会篡改操作系统的注册表,同时创建一个允许远程访问的管理帐户。
主后门CommanderDLL使用的扩展名为.pdb,其使用自定义加密算法,并可执行某些预定义操作。后门通知加密的日志文件追踪受感染设备上的所有内容。
Turla网络间谍组织
研究人员此前曾经发现,该组织的主要活动时间符合俄罗斯UTC +4时区的标准工作周期,因此其很可能身在俄罗斯境内。
Turla组织自2007年开始活跃,据认为是俄罗斯的网络间谍组织(也被称为Waterbug, Venomous Bear与KRYPTON),一直活跃于攻击政府机构与民间企业,2008年曾攻击美国国防部(DOD)。
该组织拥有庞大的工具集,通常被分为几类:Turla的间谍平台主要用来攻击Windows设备,但也会使用各种后门和Rootkit攻击MacOS和Linux设备,而最先进的恶意软件仅部署在其最感兴趣的设备上。
https://www.easyaq.com/news/2086622414.shtml
- 发表于:
- 原文链接:http://kuaibao.qq.com/s/20180111A08QN400?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
