Turla（又名Pensive Ursa、Uroburos、Snake）是一個(gè)至少?gòu)?004年開始運(yùn)行，總部位于俄羅斯的一個(gè)攻擊組織。該組織與俄羅斯聯(lián)邦安全局（FSB）有一定聯(lián)系。接下來，我們將在這篇文章中介紹Pensive Ursa工具庫中最近活躍的10種惡意軟件：Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

MITRE ATT&CK稱Turla是以其有針對(duì)性的攻擊和隱身而聞名，多年來，Pensive Ursa已經(jīng)成為一個(gè)先進(jìn)而難以被發(fā)現(xiàn)的惡意軟件。

正如MITRE所描述的那樣，Pensive Ursa已對(duì)至少45個(gè)國(guó)家發(fā)起過攻擊，包括政府實(shí)體、大使館和軍事組織，以及教育、研究和制藥公司。此外，該組織還參與了2022年2月開始的俄烏沖突。據(jù)烏克蘭CERT稱，Pensive Ursa利用間諜攻擊烏克蘭目標(biāo)，特別是針對(duì)其國(guó)防部門。

雖然Pensive Ursa主要利用他們的間諜工具瞄準(zhǔn)Windows設(shè)備，但也會(huì)攻擊macOS和Linux設(shè)備。

以下是該團(tuán)隊(duì)工具庫中最活躍的10種惡意軟件。對(duì)于每種類型的惡意軟件，我們都提供了簡(jiǎn)短的描述和分析，以及Cortex XDR如何檢測(cè)和阻止攻擊。

Capibar

別名：DeliveryCheck、GAMEDAY；

惡意軟件類型：后門；

首次發(fā)現(xiàn)時(shí)間：2022年；

Capibar（又名DeliveryCheck，GAMEDAY）是Pensive Ursa后門，于2022年首次被觀察到，主要用于對(duì)烏克蘭國(guó)防軍進(jìn)行間諜活動(dòng)，通過電子郵件將其作為帶有惡意宏的文檔傳播。

Capibar通過下載并在內(nèi)存中啟動(dòng)負(fù)載的計(jì)劃任務(wù)而·持續(xù)存在。攻擊組織將Capibar作為托管對(duì)象格式（MOF）文件安裝在受攻擊的MS Exchange服務(wù)器上，使攻擊者能夠完全控制服務(wù)器。

下圖顯示了負(fù)責(zé)加載從其命令和控制（C2）接收的XML的代碼片段，圖2顯示了觸發(fā)的警報(bào)：

Turla（又名Pensive Ursa）工具庫分析

Capibar代碼段加載從其C2接收的XML

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR觸發(fā)了警報(bào)

Kazuar

惡意軟件類型：后門；

首次發(fā)現(xiàn)時(shí)間：2017年

Kazuar是.NET后門，于2017年被首次發(fā)現(xiàn)。Kazuar提供對(duì)其操作人員所針對(duì)的受感染系統(tǒng)的全面訪問權(quán)限，Kazuar附帶了一個(gè)強(qiáng)大的命令集，包括遠(yuǎn)程加載額外插件，以增強(qiáng)后門功能的能力。

2021年，研究人員發(fā)現(xiàn)，Kazuar和俄羅斯攻擊組織在 SolarWinds 行動(dòng)中使用的SUNBURST后門之間存在有趣的代碼重疊和相似之處。2023年7月，烏克蘭CERT破獲了一次間諜行動(dòng)，Pensive Ursa則是將Kazuar作為主要后門之一。

下圖顯示了Cortex XDR阻止將Kazuar DLL注入explorer.exe進(jìn)程，下圖顯示為防止Kazuar而觸發(fā)的警報(bào)：

Turla（又名Pensive Ursa）工具庫分析

Kazuar被注入explorer.exe并被Cortex XDR阻止

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR的Kazuar執(zhí)行阻止警報(bào)

Snake

惡意軟件類型：模塊化后門；

首次被發(fā)現(xiàn)時(shí)間：2003年；

正如CISA在2023年5月描述的那樣，臭名昭著的Snake惡意軟件是Pensive Ursa工具集中最復(fù)雜的工具。該工具的主要目的是實(shí)現(xiàn)相當(dāng)長(zhǎng)一段時(shí)間的持久性，并從專用目標(biāo)中盜取數(shù)據(jù)。自2003年以來，它已經(jīng)發(fā)展了20年。

Snake在全球50多個(gè)國(guó)家被發(fā)現(xiàn)，美國(guó)司法部發(fā)表聲明，宣布了MEDUSA行動(dòng)。在該行動(dòng)中，他們查獲了Snake惡意軟件活動(dòng)和P2P網(wǎng)絡(luò)。他們使用了聯(lián)邦調(diào)查局開發(fā)的一種名為PERSEUS的工具，將其用作Snake惡意軟件的阻止攻擊。

基于先前的分析，Snake惡意軟件實(shí)現(xiàn)了可維護(hù)的代碼設(shè)計(jì)，這表明其開發(fā)者具有較高的軟件開發(fā)功能。

Snake實(shí)現(xiàn)了以下功能：

基于HTTP和TCP的通信協(xié)議的自定義實(shí)現(xiàn)；

用于隱身的內(nèi)核模塊；

按鍵記錄儀功能；

Snake最近的變種包括一個(gè)類似于下面描述的感染鏈。

Snake惡意軟件傳播示例

執(zhí)行時(shí)，Snake從其資源中加載并執(zhí)行Pensive Ursa的PNG Dropper惡意軟件，并創(chuàng)建一個(gè)硬編碼互斥體{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C，如下圖所示：

Turla（又名Pensive Ursa）工具庫分析

Snake loader的資源

然后，PNG釋放器解碼并加載一個(gè)易受攻擊的VM驅(qū)動(dòng)程序，該驅(qū)動(dòng)程序用于權(quán)限提升，以便將主Snake負(fù)載寫入磁盤，并將其注冊(cè)為服務(wù)。下圖所示的Snake加載程序變體檢測(cè)感染鏈中的多個(gè)階段，這些階段導(dǎo)致部署、服務(wù)注冊(cè)和執(zhí)行Snake主負(fù)載。

下圖顯示了Cortex XDR中彈出的執(zhí)行阻止警報(bào)：

Turla（又名Pensive Ursa）工具庫分析

檢測(cè)模式下Cortex XDR中顯示的Snake執(zhí)行檢測(cè)

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Snake執(zhí)行阻止警報(bào)

QUIETCANARY

別名：Tunnus；

惡意軟件類型：后門；

首次發(fā)現(xiàn)時(shí)間：2017；

自2019年以來，人們一直在使用QUIETCANRY觀察Pensive Ursa，Tomiris組織甚至更早地使用了這個(gè)后門。

Pensive Ursa于2022年9月便針對(duì)烏克蘭的目標(biāo)部署了QUIETCANARY，以及Kopiluwak惡意軟件。

QUIETCANRY是一個(gè)用.NET編寫的輕量級(jí)后門，能夠執(zhí)行從其C2服務(wù)器接收的各種命令，包括下載額外的有效負(fù)載和執(zhí)行任意命令。它還實(shí)現(xiàn)了RC4加密，以保護(hù)其C2通信。

下圖顯示了QUIETCANRY后門功能的不同類，展示了QUIETCANRY觸發(fā)的基于Cortex XDR多層保護(hù)的警報(bào)：

Turla（又名Pensive Ursa）工具庫分析

QUIETCANRY代碼中不同類的代碼段

下圖顯示了執(zhí)行阻止警報(bào)：

Turla（又名Pensive Ursa）工具庫分析

在Cortex XDR中顯示了QUIETCANRY的警報(bào)

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的QUIETCANARY/Tunnus執(zhí)行阻止警報(bào)

Kopiluwak

惡意軟件類型：傳播器/下載器；

首次發(fā)現(xiàn)時(shí)間：2016年；

Kopiluwak惡意軟件于2016年底被首次發(fā)現(xiàn)，它是由各種類型的滴管作為多層JavaScript而進(jìn)行有效負(fù)載傳播的。

Pensive Ursa在2017年的一次G20主題攻勢(shì)中使用MSIL滴管釋放了Kopiluak惡意軟件，并在2022年末作為SFX可執(zhí)行文件釋放。

Kopiluwak的JavaScript文件如下圖所示，下面是C:\Windows\Temp\ path下的代碼片段。其目的是收集有關(guān)受攻擊計(jì)算機(jī)的有價(jià)值的初始分析信息，例如：

在目標(biāo)位置列出文件；

檢索當(dāng)前運(yùn)行的進(jìn)程；

顯示活動(dòng)的網(wǎng)絡(luò)連接；

攻擊者通過運(yùn)行systeminfo、tasklist、net、ipconfig和dir等偵察命令來完成此活動(dòng)，結(jié)果保存在名為result2.dat的文件中。

Turla（又名Pensive Ursa）工具庫分析

在檢測(cè)模式下，在Cortex XDR中顯示Kopiluwak執(zhí)行檢測(cè)

下圖列出了由Kopiluwak執(zhí)行，并由Cortex XDR檢測(cè)到的偵察命令：

Turla（又名Pensive Ursa）工具庫分析

Kopiluwak的偵察命令

下圖顯示了Cortex XDR為Kopiluwak發(fā)出執(zhí)行阻止警報(bào)：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Kopiluak執(zhí)行阻止警報(bào)

2019年，Pensive Ursa開始使用Topinambour滴管遞送Kopiluak。該組織將Topinambour捆綁到一個(gè)合法的軟件安裝程序中。

安裝后，Topinambour作為一個(gè)小的.NET文件被放到%localappdata%文件夾中，并作為一個(gè)計(jì)劃任務(wù)寫入。然后，該惡意軟件與其硬編碼的C2虛擬專用服務(wù)器（VPS）通信，以傳遞Kopiluwak惡意軟件。

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR在檢測(cè)模式下顯示Topinambour執(zhí)行檢測(cè)

下圖顯示了Cortex XDR彈出的阻止警報(bào)：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Topinambour執(zhí)行阻止警報(bào)

Crutch

惡意軟件類型：后門；

首次發(fā)現(xiàn)時(shí)間：2015年；

2020年12月，ESET研究人員發(fā)現(xiàn)了Crutch后門。根據(jù)Pensive Ursa的戰(zhàn)術(shù)、技術(shù)和程序（TTP），攻擊者利用后門攻擊了歐洲的幾個(gè)目標(biāo)，包括一個(gè)歐盟成員國(guó)的外交部。

這個(gè)后門的主要目的是竊取敏感文件，并將數(shù)據(jù)泄露到Pensive Ursa運(yùn)營(yíng)商控制的Dropbox帳戶。使用Dropbox等商業(yè)服務(wù)進(jìn)行C2通信是一種已知的（但有效的）技術(shù)，因?yàn)樗且环N合法的服務(wù)，并與其他網(wǎng)絡(luò)通信相融合。

由于代碼和TTP與Pensive Ursa的另一個(gè)名為Gazer的后門有很大的相似性，Crutch被認(rèn)為是第二階段的后門，其持久性是通過DLL劫持實(shí)現(xiàn)的。

下圖顯示了Cortex XDR中Crutch的檢測(cè)和阻止：

ComRAT

別名：Agent.btz；

惡意軟件類型：后門；

首次出現(xiàn)時(shí)間：2007年

Turla（又名Pensive Ursa）工具庫分析

PowerShell滴管在檢測(cè)模式下將ComRAT釋放到Cortex XDR中顯示的磁盤

ComRAT是Pensive Ursa最古老的后門之一，他們?cè)趷阂廛浖脑缙诘袑⑵涿麨锳gent.btz。

據(jù)報(bào)道，ComRAT于2007年首次被發(fā)現(xiàn)。從那時(shí)起，它進(jìn)行了多次升級(jí)，截至2020年，ComRAT已經(jīng)迭代了4版。此攻擊是在C++中開發(fā)的，攻擊者已使用PowerShell植入（如PowerStalion）進(jìn)行部署。

下圖顯示了PowerShell滴管機(jī)制。攻擊者在使用ComRAT時(shí)的主要目的是從高價(jià)值目標(biāo)那里竊取和泄露機(jī)密文件：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示ComRAT PowerShell滴管執(zhí)行阻止警報(bào)

下圖描述了Cortex XDR中的PowerShell和DLL執(zhí)行阻止：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的ComRAT DLL執(zhí)行阻止警報(bào)

Carbon

惡意軟件類型：后門；

首次發(fā)現(xiàn)時(shí)間：2014年

Carbon是一個(gè)模塊化后門框架，Pensive Ursa已經(jīng)使用了幾年。Carbon框架包括一個(gè)安裝程序、一個(gè)協(xié)調(diào)器組件、一個(gè)通信模塊和一個(gè)配置文件。

Carbon還具有P2P通信功能，攻擊者使用該功能向受網(wǎng)絡(luò)上影響的其他受感染設(shè)備發(fā)送命令。Carbon通過使用Pastebin等合法網(wǎng)絡(luò)服務(wù)提供商接收C2的命令。

下圖顯示了Carbon在Cortex XDR中的執(zhí)行檢測(cè)和阻止：

Turla（又名Pensive Ursa）工具庫分析

Carbon創(chuàng)建了一個(gè)加載附加組件的服務(wù)，該服務(wù)在檢測(cè)模式下顯示在Cortex XDR中

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Carbon執(zhí)行阻止警報(bào)

HyperStack

惡意軟件類型：后門；

首次亮相：2018年；

HyperStack（又名SilentMo，BigBoss）是一個(gè)RPC后門，于2018年首次被發(fā)現(xiàn)，攻擊者在針對(duì)歐洲政府實(shí)體的行動(dòng)中使用了它。HyperStack使用一個(gè)控制器進(jìn)行操作，該控制器使用命名管道通過RPC與受HyperStack感染的受攻擊環(huán)境中的其他計(jì)算機(jī)進(jìn)行通信。此通信方法使攻擊者能夠控制本地網(wǎng)絡(luò)上的計(jì)算機(jī)。

HyperStack顯示了與Pensive Ursa的Carbon后門的幾個(gè)相似之處，如加密方案、配置文件格式和日志記錄約定。

下圖顯示了HyperStack在Cortex XDR中的檢測(cè)和阻止：

Turla（又名Pensive Ursa）工具庫分析

HyperStack創(chuàng)建了一個(gè)用于持久性的服務(wù)，在檢測(cè)模式下顯示在Cortex XDR中

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示HyperStack執(zhí)行阻止警報(bào)

TinyTurla

惡意軟件類型：后門；

首次發(fā)現(xiàn)時(shí)間：2021年；

TinyTurla惡意軟件于2021年被Talos首次發(fā)現(xiàn)，他們認(rèn)為這是第二階段的后門。美國(guó)、歐盟和后來的亞洲目標(biāo)都發(fā)現(xiàn)了這種后門。

TinyTurla的主要功能包括：

下載其他有效負(fù)載；

向攻擊者的C2服務(wù)器上傳文件；

執(zhí)行其他進(jìn)程；

如下圖所示，攻擊者通過批處理腳本將后門安裝為名為WindowsTimeService的服務(wù)。批處理腳本還負(fù)責(zé)將C2服務(wù)器的數(shù)據(jù)寫入注冊(cè)表。一旦后門被執(zhí)行，它讀取這些值將與其C2通信。

它偽裝成一個(gè)名為w64time.DLL的DLL，位于system32文件夾下。

Turla（又名Pensive Ursa）工具庫分析

上面描述的批處理腳本的內(nèi)容

雖然w32time.dll是一個(gè)合法的DLL，而且其他合法的DLL確實(shí)有32位和64位的變體，但是合法的w64time.dll并不存在。這種命名慣例旨在進(jìn)一步分散受害者的注意力，使他們不產(chǎn)生懷疑。

下圖顯示了Cortex XDR檢測(cè)批處理腳本、W64Time服務(wù)和TinyTurla DLL執(zhí)行的編寫和執(zhí)行：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR在檢測(cè)模式下顯示TinyTurla阻止

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示TinyTurla執(zhí)行阻止警報(bào)

戰(zhàn)術(shù)、技術(shù)和程序(TTP)

Cortex XDR警報(bào)被映射到MITRE ATT&CK框架，并提供與攻擊相關(guān)的戰(zhàn)術(shù)和技術(shù)信息，如下圖所示：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR的Mitre ATT&CK映射

Pensive Ursa相關(guān)活動(dòng)和工具庫在Cortex XDR中引發(fā)了多個(gè)警報(bào)，這些警報(bào)被映射到表1中引用的MITRE ATT&CK戰(zhàn)術(shù)和技術(shù)。

Turla（又名Pensive Ursa）工具庫分析

MITRE ATT&CK戰(zhàn)術(shù)和技術(shù)

總結(jié)

眾所周知，Pensive Ursa高級(jí)持續(xù)攻擊（APT）組織是一個(gè)重要且持續(xù)存在的攻擊組織。憑借其先進(jìn)的技術(shù)，其運(yùn)營(yíng)組織在針對(duì)全球行業(yè)的同時(shí)，也向大眾展示了一種先進(jìn)的規(guī)避方式。

我們?cè)诒疚奶剿髁薖ensive Ursa工具庫中排名前十的惡意軟件，并通過Palo Alto Networks Cortex XDR監(jiān)測(cè)了其執(zhí)行過程。這表明針對(duì)先進(jìn)攻擊使用多層保護(hù)模式的重要性。

因?yàn)镻ensive Ursa APT攻擊的受害者可能會(huì)造成重大損失，其后果不僅限于財(cái)務(wù)損失和數(shù)據(jù)泄露，還包括影響關(guān)鍵基礎(chǔ)設(shè)施的可能性，這可能會(huì)對(duì)國(guó)家安全和地緣政治產(chǎn)生影響。因此，每個(gè)組織，無論其規(guī)?；蛐袠I(yè)如何，都必須優(yōu)先考慮全面的安全戰(zhàn)略，并投資多層安全措施，以防范Pensive Ursa等APT組織日益增長(zhǎng)的攻擊。

保護(hù)和緩解措施

Palo Alto Networks Cortex XDR和XSIAM的客戶可以獲得針對(duì)本文描述的Pensive Ursa惡意軟件庫的保護(hù)。

本文針對(duì)每種惡意軟件都提出了阻止和檢測(cè)警報(bào)：Capibar、Kazua、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

SmartScore是一個(gè)獨(dú)特的機(jī)器學(xué)習(xí)驅(qū)動(dòng)的評(píng)分引擎，它將安全調(diào)查方法及其相關(guān)數(shù)據(jù)轉(zhuǎn)換為混合評(píng)分系統(tǒng)，對(duì)一個(gè)涉及已知Pensive Ursa工具和技術(shù)組合的事件進(jìn)行了91分的評(píng)分，這是一個(gè)非常高的風(fēng)險(xiǎn)水平，如下圖所示：

Turla（又名Pensive Ursa）工具庫分析

SmartScore有關(guān)該事件的信息，對(duì)于Palo Alto Networks的客戶，其提供了與該組織相關(guān)的以下覆蓋范圍：

Cortex XDR通過分析來自多個(gè)數(shù)據(jù)源的用戶活動(dòng)來檢測(cè)基于用戶和憑據(jù)的攻擊，這些數(shù)據(jù)源包括：

終端；

網(wǎng)絡(luò)防火墻；

活動(dòng)目錄；

身份和訪問管理解決方案；

云工作負(fù)載；

Cortex XDR通過設(shè)備學(xué)習(xí)，建立用戶活動(dòng)隨時(shí)間變化的檔案，通過將新活動(dòng)與過去的活動(dòng)、p2p活動(dòng)和實(shí)體的預(yù)期行為進(jìn)行比較。

Cortex XDR檢測(cè)到表明基于憑據(jù)攻擊的異?；顒?dòng)，它還提供了以下與本文中討論的攻擊相關(guān)的保護(hù)措施：

使用基于本地分析模塊的行為攻擊保護(hù)和設(shè)備學(xué)習(xí)，防止執(zhí)行已知惡意軟件，并防止執(zhí)行未知惡意軟件；

使用Cortex XDR 3.4提供的新憑證收集保護(hù)，防止使用憑證收集工具和技術(shù)；

使用Cortex XDR 3.4中最新發(fā)布的Anti-Webshell保護(hù)，防止攻擊者從web shell中釋放和執(zhí)行命令；

使用反利用模塊以及行為攻擊保護(hù)來防止對(duì)不同漏洞的利用，包括ProxyShell和ProxyLogon；

Cortex XDR Pro通過行為分析檢測(cè)攻擊后活動(dòng)，包括基于憑據(jù)的攻擊。

文章翻譯自：https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/如若轉(zhuǎn)載，請(qǐng)注明原文地址