记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

最新的Turla后门利用电子邮件PDF附件作为C&C机制

2018-08-24 18:45

来自ESET的恶意软件研究人员发布了一份关于Turla后门最新变种的详细报告,该后门利用电子邮件PDF附件作为C&C。

来自ESET的恶意软件研究人员对与俄罗斯相关的APT Turla  在有针对性的间谍活动中使用的后门进行了新的分析。

新分析揭示了一系列以前不为人知的知名受害者。

Turla是俄罗斯网络间谍APT集团(也称为Waterbug,毒蛇和KRYPTON)的名称,自2007年以来一直活跃于政府组织和私营企业之中。

以前已知的受害者名单很长,其中还包括瑞士国防公司RUAG,美国国务院和美国中央司令部。

Turla的武器库由复杂的黑客工具和Turla  (Snake  和  Uroburos  rootkit),Epic Turla(Wipbot和Tavdig)和Gloog Turla的之类的恶意软件组成  。2016年6月,卡巴斯基的研究人员报告说,Turla APT已经开始使用rootkit,Epic Turla(Wipbot和Tavdig)和Gloog Turla。

ESET进行的新分析显示,黑客侵犯了德国联邦外交部,Turla感染了几台计算机,并使用后门窃取了几乎整个2017年的数据。

这些网络破坏首先破坏了该国联邦公共行政学院的网络,然后在2017年3月侵入了外交部网络,德国当局在年底发现了黑客并在2018年3月公开披露.ESET解释说新分析中最重要的方面是发现了Turla用来攻击另外两个欧洲国家外交部的秘密访问渠道。

“重要的是,我们自己的调查已经确定,除了这一广为人知的安全漏洞之外,该集团还利用同样的后门打开了秘密访问另外两个欧洲国家外交部以及国防承包商网络的通道。”ESET发布的分析称。

“这些组织是最新发现的被该APT小组攻击的组织,至少自2008年以来该组织一直针对政府,州官员,外交官和军事当局。”

Turla后门最晚从2009年开始使用,并且多年来不断改进。最新的样本看起来非常复杂,具有罕见的隐身性和弹性。最后分析的变体可追溯到2018年4月,它实现了直接在计算机内存中执行恶意PowerShell脚本的能力。

ESET分析的恶意软件不使用常见的的命令和控制服务器,而是通过电子邮件发送的PDF文件接收更新和指令。

“不使用传统的像基于HTTP(S)之类的C&C基础设施,后门是通过电子邮件消息进行操作的; 更具体地说,通过电子邮件附件中的特制PDF文件。”

“受感染的机器可以被用来执行一系列命令。最重要的是,这其中包括数据泄露,以及下载其他文件以及执行其他程序和命令。数据泄露本身也通过PDF文件进行。”

通过生成带有虹吸数据的PDF并通过电子邮件和消息元数据发送出来来获取信息。

“从PDF文档中,后门能够恢复攻击者在日志中调用容器的行为。这是一个二进制blob,其特殊格式包含后门的加密命令。”

“从技术上讲,附件不一定是有效的PDF文档。唯一的要求是它包含一个正确格式的容器。”

Turla后门会自动删除发送给攻击者或从攻击者收到的消息以保持隐身。

后门是一个独立的DLL(动态链接库),它与Outlook和The Bat!交互电子邮件客户端,它通过使用COM对象劫持获得持久性。有了这个技巧,每次Outlook加载COM对象时都可以加载恶意DLL。

与其他后门不同,Turla示例颠覆了Microsoft Outlook的合法邮件应用程序编程接口(MAPI),以访问目标邮箱并不被检测到。

后门实现了以下几个命令:

ESET专家没有检测到任何PDF样本,包括后门命令,但他们能够创建这样的文档。

知识来源: www.mottoin.com/tech/112710.html

阅读:122327 | 评论:0 | 标签:技术控 漏洞分析 后门

想收藏或者和大家分享这篇好文章→复制链接地址

“最新的Turla后门利用电子邮件PDF附件作为C&C机制”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词