区块链安全咨询公司 曲速未来 表示:Turla,也被称为Venomous Bear,Waterbug和Uroboros,是隶属俄罗斯的APT组织。可能最为人所知的是当时“超复杂”的蛇rootkit专注于北约相关目标,但他们的恶意软件集和活动范围更广。现在目前关注的是APT最近和即将开展的活动,它带来了旧代码,新代码和新猜测的有趣组合,以及它们将在下一步发展的地方以及它们将会发生什么。
今年研究大部分都集中在Turla的KopiLuwak javascript后门,Carbon框架的新变种和计量器传递技术。同样有趣的是Mosquito不断变化的交付技术,定制的PoshSec-Mod开源PowerShell使用以及借用的注入器代码。我们将部分此类活动与WhiteBear和Mosquito基础设施的基础设施和数据点以及2017年和2018年的活动联系在一起。
首先,确定了研究目标和交付技术,为讨论带来了更多的准确性和可靠性。同样有趣的是对Turla脚本文物的回顾,导致像KopiLuwak这样的新工作,从WhiteAtlas和WhiteBear的开发工作中追溯旧脚本。而且,从发现2018年KopiLuwak的输送技术首次出乎意料地与Zebrocy鱼腥钓鱼技术相匹配。
同样非常有趣和不寻常的是提供Mosquito后门的MiTM技术。极有可能,Turla在Wifi目标范围内提供了某种物理存在。与Adobe网站的下载会话被拦截并注入以提供Mosquito木马安装程序。这种假设得到了Mosquito安装人员一致的wifi凭证盗窃的支持。同时,注入和交付技术在2018年正在发生变化,反射装载机和代码增强。
最后,还讨论了Carbon框架,将有时称为“Snake lite”的旧的,优雅的和功能性的代码库捆绑在一起,不断努力有选择地监控高价值目标。现在看来后门是用meterpreter推的。而且,正如在2018年看到的代码修改和部署,预测这个成熟代码库的更多开发工作以及选择性部署将持续到2019年。
从本质上讲,研究人员正在讨论围绕几个恶意软件系列的持续活动:
- KopiLuwak和IcedCoffeer
- Carbon
- Mosquito
- WhiteBear
IcedCoffee
Turla首次涉足成熟的Javascript后门,开始使用IcedCoffee后门,首先在2016年6月的“Ice Turla”私人报告中报道,后来它们的功能更加全面和复杂,最近部署,KopiLuwak后门。IcedCoffee最初被漏洞利用的RTF文档丢弃,后来被支持宏的Office文档丢弃。用于删除IcedCoffee的宏代码是White Atlas中稍微修改过的版本,与许多Turla工具中的代码共享一致。对宏代码的一个值得注意的改变是添加了一个简单的Web信标,在执行宏时将基本信息转发给Turla控制的服务器,
IcedCoffee是一个相当基本的后门,它使用WMI从系统中收集各种系统和用户信息,然后用base64编码,用RC4加密并通过HTTP POST提交给C2服务器。IcedCoffee没有内置命令功能,而是可以从C2服务器接收javascript文件,这些文件在内存中进行反模糊处理和执行,在磁盘上不留任何后果进行取证分析。IcedCoffee没有得到广泛部署,而是针对欧洲政府的外交官,包括大使。
KopiLuwak
2016年11月,安全研究人员观察到新一轮的武器化宏文档,这些文档丢弃了一个新的,严重混淆的Javascript有效载荷,将其命名为KopiLuwak(世界上最稀有和最昂贵的咖啡类型之一)。这种新恶意软件的定位与早期的Turla运营一致,主要集中在欧洲政府,但它比IcedCoffee更有选择性地部署。
KopiLuwak脚本由宏代码解码,非常类似于之前在IcedCoffee中看到的代码,但生成的脚本不是最后一步。该脚本使用参数作为RC4的密钥来执行,该参数解密包含系统信息集合以及命令和控制信标功能的附加javascript层。KopiLuwak执行更全面的系统和网络侦察收集,并且像IcedCoffee在磁盘上留下的很少,以便调查人员发现基本脚本以外的其他内容。
与IcedCoffee不同,KopiLuwak包含一组基本的命令功能,包括运行任意系统命令和卸载自身的功能。在2017年中期,发现了一个新版本,其中该命令集得到了进一步增强,包括文件下载和数据泄露功能。
最近在KopiLuwak生命周期中的演变发生在2018年中期,当时我们观察到叙利亚和阿富汗的一小部分系统被定位为新的传递载体。在此广告系列中,KopiLuwak后门已在
Windows快捷方式(.lnk)文件中进行编码和传送。lnk文件是一个特别有趣的开发,因为它们包含的用于解码和丢弃有效负载的powershell代码几乎与Zebrocy威胁演员一个月前使用的代码相同。
Carbon
Carbon继续部署在中亚的政府和外交事务相关组织。自2014年以来,该地区的Carbon定位已经转移到少数几个国家。在这里,我们发现了一个新的orchestrator v3.8.2和一个部署到多个系统的新注入传输库v4.0.8。虽然无法确定滴管的具体交付事件,但其外观与仪表预测器的存在相吻合。这种计量器的依赖性也与之前在2017年底和2018年初记录的更广泛的Turla使用开源工具相吻合。
2014年报告的Epic Turla运营涉及高度选择性的Carbon交付,是一项影响数百名受害者的长期全球运营。这些系统中只有一小部分被升级为被称为“Carbon框架”的恶意软件集,甚至更少的人因为“极端持久性”而获得了Snake rootkit。因此,众所周知,Carbon是一个复杂的代码库,具有悠久的历史和非常有选择性的交付,并且与Snake rootkit的开发和部署相吻合。鉴于它的年龄,有趣的是这个代码库目前正在修改,2018年将其他变种部署到目标。
现在期望对Carbon框架代码进行修改并预测这个成熟代码库的选择性部署将持续到2019年在中亚和相关的远程位置。像这样的复杂模块必须付出一些努力和投资,而相应的加载器注入器和横向移动恶意软件转移到开源,这个后门程序包及其基础设施很可能在短期内不会被完全替换。
.JS附件提供Skipper / WhiteAtlas和WhiteBear
根据在2017年初向私人客户介绍了WhiteBear可操作数据,并在8个月后公开分享了该报告的类似分析。同样,这是一系列活动,持续超出预期。这很有趣,因为WhiteBear与KopiLuwak共享已知的受损基础架构:soligro [.] com。WhiteBear脚本spearphish附件也跟进了最初的WhiteAtlas脚本开发和部署工作。
Mosquito改变交付技术
在2018年3月,据私人报告客户收到了关于Mosquito包含无文件和定制的Posh-SecMod metasploit组件的可操作数据。当讨论该组织的metasploit使用被公之于众时,他们的策略开始发生变化。
“DllForUserFileLessInstaller”注入器模块维护了2017年11月22日的编译日期,并且Mosquito开始使用它将ComRAT模块注入到2018年1月左右的内存中。它是一小段metasploit注入器代码,用于解决Wow64的问题。此外,相关的开源PowerShell注册表加载器代码奇怪地被修改以避免使用AES,并选择3DES加密。这是修改后的Mosquito代码:
下面是获取的默认Posh-SecMod代码:
更多期望在整个2018年看到来自Mosquito的更多基于开源或无灵感的无文件组件和内存加载器。也许这种恶意软件增强表明他们对维持当前访问受害者组织比开发攻击性技术更感兴趣。
Mosquito
于2017年初向我们的私人英特尔客户提供了有关Mosquito的可操作数据。然后根据的初步调查结果包括针对木马程序安装程序的不寻常合法下载URL的数据:
虽然在当时无法准确识别MiTM技术,但可能会对这些事件使用WiFi MiTM或路由器妥协。考虑到全球多个远程位置的目标,使用ISP级别的FinFisher MiTM是不太可能的,但可能的。
但是还有更多的事件数据需要详述。在某些情况下,两个“.js”文件被写入磁盘,受感染的系统被配置为在启动时运行它们。他们的命名提供了对此功能的意图的洞察,即通过谷歌应用程序远程更新恶意软件,并通过在每次启动时加载和运行“1.txt”来维护本地设置更新。在某种程度上,这种分阶段的脚本加载技术似乎与过去专注于欧洲政府组织的Turla事件中观察到的IcedCoffee javascript加载技术共享。从服务器端提供更新,从而减少恶意软件集的发现。
因此,要应该考虑Mosquito Turla在这些更新期间执行的wifi数据收集,因为它尚未公开记录。编写并运行此local_update js文件后,几个Mosquito安装程序包执行的第一步是使用命令行调用将所有本地主机的WiFi配置文件(设置和密码)导出到%APPDATA%\ .xml:
然后,他们通过调用ipconfig和arp -a来收集更多网络信息。维持目标网络正在进行的基于主机的wifi凭证收集使得更容易拥有对欺骗和MiTM的wifi网络的持续访问,因为暴力破解或以其他方式破解弱安全的WiFi网络变得不必要。也许这种依赖于位置的入侵和访问的特定方法对于Mosquito Turla而言正在下降,因为目前还没有发现提供木马化代码的新URL。
下一波攻击活动
看到正在进行的目标与其他APT活动重叠或缺乏重叠是非常有趣的。注意到Turla没有出现在里程碑式的DNC黑客活动中,Sofacy和CozyDuke都在场,但Turla在全球其他项目中悄然活跃,为这一群体的持续动机和雄心提供了一些见解。有趣的是,与这些组织相关的数据尚未被武器化并在网上找到,而此Turla活动正在悄然进行。
Turla的Mosquito和Carbon项目主要关注外交和外交事务目标。虽然WhiteAtlas和WhiteBear活动在全球范围内扩展到包括外事相关组织,但并非所有目标都始终遵循此配置文件。科学和技术中心也成为攻击目标,政治领域以外的组织也受到关注。Turla的KopiLuwak活动并不一定关注外交事务,也不一定会走上另一条道路。相反,2018年的活动针对政府相关的科学和能源研究组织,以及阿富汗政府相关的通信组织。这种高度选择性但更广泛的定位设置很可能会持续到2019年。
区块链安全咨询公司 曲速未来 观点:从目标角度来看,可以看到KopiLuwak和WhiteBear活动之间的联系更紧密,以及Mosquito和Carbon活动之间更紧密的对齐。
WhiteBear和KopiLuwak在部署不寻常的.js脚本时共享基础架构。当看到更多的仪表和喷射器代码时,开源攻击性恶意软件可能会更多地出现在Mosquito和Carbon攻击中,而更多独特创新的复杂恶意软件将继续与KopiLuwak一起分发并可能返回WhiteBear。正如从先前的zebrocy鱼叉式网络钓鱼借鉴技术看到的那样,技术有时会传递并重复。