阿富汗动乱后,Turla APT开始种植新的后门-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 阿富汗动乱后,Turla APT开始种植新的后门

阿富汗动乱后,Turla APT开始种植新的后门

小墨安全管家 2021-09-26 08:03 CC防护 89 ℃
DDoS防御
TinyTurla软件攻击的具体方式

攻击者使用了一具.BAT文件,该文件将TinyTurla安装为一具看起来特别正常的微软Windows Time服务,同时还在注册表中设置了后门使用的配置参数。

可是,网络流量中的这个每五秒钟执行一次的事情能够被一些谨防系统发觉,他们指出,这是一具特别好的例子,防DDoS,这讲明了将基于网络行为的检测纳入到你的安全体系中是多么的重要。

研究人员指出,尽管Turla经常使用复杂的恶意软件,但该组织也会使用像如此的特别简单的恶意软件来掩人耳目。

当时,卡巴斯基将Turla以为 "这是一具复杂的网络攻击平台,要紧集中在外交和政府相关的目标上,非常是在中东、中亚和远东亚洲、欧洲、北美和南美以及前苏联集团国家。"

他们估计Turla攻击活动大概会在可预见的今后然后举行下去。

该恶意软件的DLL ServiceMain启动功能除了执行一具被称为 "main_malware "的函数外,其他的啥都没有做,同时该函数包括了后门代码。他们以为那个动态链接库(DLL)相当简单,它仅由几个函数和两个 "while "循环组成。

TinyTurla是怎么举行攻击的

研究人员表示,攻击者会将TinyTurla伪装成 "Windows Time Service "服务,并且用于同步运行在活动名目域服务(AD DS)中的系统的日期和时刻。

只是,APT行为者的攻击并不完美,在防检测方面也犯过特别多错误。例如,Talos基本监测到了很多Turla的攻击行动,在他们的活动中,他们会经常重复使用被攻击的服务器举行操作,他们普通会经过SSH访咨询,而且还由Tor爱护。所以以为那个后门是Turla组织的一具缘由是,他们使用的基础设施与他们用于其他攻击的基础设施相同,这些攻击被溯源来自于他们的Turla基础设施。

阿富汗动乱后,Turla APT开始种植新的后门

APT组织基本开辟了一具巨大的武器库来使自个儿的攻击性更强。除了大概与SolarWinds中使用的Sunburst后门有关,Turla还与Crutch等知名恶意软件有关。该软件在去年12月针对欧盟国家的间谍攻击中使用了Dropbox。此外,还与Kazuar后门有关,Palo Alto Networks在2017年将其描述为一具具有API访咨询功能的多平台间谍后门。


谁是Turla?

依照卡巴斯基的研究,Turla APT能够追溯到2004年或更早。今年1月,该公司表示,DDoS防御,Turla恶意软件大概会被用于SolarWinds攻击,因为卡巴斯基研究人员发觉,在那一系列供应链攻击中使用的Sunburst后门与Turla的Kazuar后门的代码存在相似性。

研究人员指出,对俄罗斯攻击者的监测、技术证据的采集、以及战术、技术和程序(TTPs)的研究都有助于在那个最新的案例中追溯到Turla。

TinyTurla还摹仿合法的Windows时刻服务,可以上传、执行或窃取文件。该后门经过HTTPS加密通道每五秒钟与一具命令和操纵(C2)服务器联系,来检查新的命令。

阿富汗动乱后,Turla APT开始种植新的后门

研究人员报告讲,DDoS防御,Turla高级持续性威胁(APT)组织又回来了,他们使用了一具新的后门来感染阿富汗、德国和美国的系统。研究人员讲,他们基本发觉了大概是Turla集团(又名Snake、Venomous Bear、Uroburos和WhiteBear)--一具俄罗斯籍的APT组织的攻击行为。他们指出,这些攻击特别大概会使用一具隐蔽的second-chance后门来维持被感染的设备的访咨询权限。

用于针对阿富汗政府举行攻击

思科的Talos首次发觉了TinyTurla后门,当时它在塔利班政变和西方军事力量撤出的预备时期开始针对阿富汗政府举行攻击。

治理员通常特别难核实所有的正在运行的服务基本上合法的,它需要举行网络监控,提醒安全团队注意这些感染。并且,最重要的是要有检测运行未知服务的软件或自动系统,以及一支可以对大概受感染的系统举行适当取证分析的专业人员队伍。


DDoS防御

当前位置:主页 > CC防护 > 阿富汗动乱后,Turla APT开始种植新的后门

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119