[[425451]]

與俄羅斯有關(guān)的網(wǎng)絡(luò)間諜組織Turla，再次成為新聞焦點(diǎn)，該APT組織在最近一波攻擊中采用了一個(gè)新的后門。

Turla APT組織使用新后門攻擊阿富汗、德國和美國

9月22日，security affair網(wǎng)站披露，思科Talos團(tuán)隊(duì)(Cisco Talos)研究人員發(fā)現(xiàn)，至少從2020年開始，俄羅斯Turla APT組織使用了一個(gè)名為TinyTurla的新后門，對(duì)美國、德國和阿富汗進(jìn)行了一系列攻擊。

在塔利班接管該國政府以及美國及其盟國的所有軍隊(duì)撤出之前，威脅者攻擊了阿富汗實(shí)體，因此Talos推測(cè)，此次攻擊目標(biāo)可能是阿富汗政府。

研究人員發(fā)現(xiàn)TinyTurla能夠?qū)崿F(xiàn)多種功能，例如上傳和執(zhí)行文件和有效載荷，創(chuàng)建子進(jìn)程，以及滲出數(shù)據(jù)。攻擊者使用一個(gè).bat文件來傳遞后門，該文件以一個(gè)名為w64time.dll的服務(wù)DLL形式出現(xiàn)，但尚未發(fā)現(xiàn)TinyTurla后門是如何安裝在受害者系統(tǒng)上。

Talos研究人員在發(fā)表的分析報(bào)告中稱，攻擊者將后門作為一項(xiàng)服務(wù)安裝在受感染的機(jī)器上，他們?cè)噲D通過將該服務(wù)命名為"Windows Time Service"，像現(xiàn)有的Windows服務(wù)一樣，在雷達(dá)下運(yùn)作。

以前未被發(fā)現(xiàn)的后門可能被用作第二次攻擊的后門，以防備主要的Turla惡意軟件被刪除。該后門允許攻擊者保持對(duì)受感染系統(tǒng)的持續(xù)訪問。

Turla APT組織過往戰(zhàn)績(jī)”顯赫“

Turla APT組織(又名Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON)至少自2004年以來，一直活躍在中東、亞洲、歐洲、北美、南美以及前蘇聯(lián)集團(tuán)國家的外交和政府組織及私營企業(yè)中。

之前被Turla APT組織攻擊的機(jī)構(gòu)名單包括五角大樓、瑞士國防公司RUAG、美國國務(wù)院、歐洲政府實(shí)體和美國中央司令部。

Talos檢測(cè)到了許多復(fù)雜的Turla操作，例如，攻擊者經(jīng)常使用和重新使用被破壞的服務(wù)器進(jìn)行操作，通過SSH訪問這些服務(wù)器。

Talos稱：將這個(gè)后門和Turla聯(lián)系在一起的依據(jù)是，他們使用的基礎(chǔ)設(shè)施與以往Turla APT組織攻擊所使用的基礎(chǔ)設(shè)施相同。

參考文章：

https://securityaffairs.co/wordpress/122437/apt/turla-apt-new-backdoor-afghanistan.html