此稿件为翻译稿,原文为
https://securelist.com/shedding-skin-turlas-fresh-faces/88069/

Turla,也被称为Venomous Bear,Waterbug和Uroboros,可能最为人所知的是当时被称为“过复杂”并专注于北约目标的rootkit,但其实他们的恶意软件集和活动范围更广。 我们目前关注的是APT最近即将开展的活动。这些APT带来了旧代码、新代码、它们下一次攻击的地点以及将会发生的事情等新的猜测。

在2018年,我们大部分的研究都集中在Turla的KopiLuwak javascript后门、Carbon框架的新版本的和meterpreter渗透技术。 同样有趣的是Mosquito不断变化的渗透技术、PoshSec-Mod所定制的开源PowerShell的使用以及注入代码。 我们将部分此类活动与WhiteBear和Mosquito基础底层设备和数据点以及2017年和2018年的活动联系在一起。

首先,KopiLuwak通过研究确定了目标和交付技术,并使讨论更为准确和可靠。 同样有趣的是回顾像Turla这样引导出KopiLuwak等新工作的人工脚本,并从WhiteAtlas和WhiteBear的开发工作中追溯旧脚本。并且 在2018年,我们发现KopiLuwak的输送技术首次出乎意料地与Zebrocy钓鱼技术相匹配。

同样非常有趣和不寻常的是提供Mosquito后门的中间人攻击技术。 极大可能下Turla是在Wifi目标范围内传递了某种物理存在。 Adobe网站的下载会话被拦截并注入以传播Mosquito木马安装程序。 这种假设得到了Mosquito安装程序关于wifi凭证盗窃的一致性支持。 与此同时,在2018年代码注入和交付技术也正在发生着变化,例如反射Loaders和代码水平的提高。 我们预计到2019年会有更多的Mosquito活动。

最后,我们讨论了Carbon框架。此框架将“Snake lite”所研发的古老,优雅和具有多功能性的代码库捆绑在一起,并努力有选择地去监控高价值目标。 现在看来后门是用meterpreter产生的。 而且根据在2018年看到的代码修改和部署,我们可以预测这个成熟代码库的更多开发工作以及选择性部署将持续到2019年。
从本质上讲,我们正在讨论一下几个恶意软件的持续活动:

  • KopiLuwak and IcedCoffeer
  • Carbon
  • Mosquito
  • WhiteBear

技术膨胀

Turla将工作转移到脚本

KopiLuwak、IcedCoffee、WhiteBear、和 WhiteAtlas(均为黑客利用工具的代称)

从2015年开始,Turla已经通过多种方式利用Javascript,powershell和wsh,实现了包括恶意软件的渗透/安装操作并制作了完整的后门程序。 White Atlas框架经常利用一个小的Javascript脚本在VBA宏代码解密后执行恶意软件dropper的有效可利用代码,然后清空痕迹。 此框架放弃了由Turla开发的Firefox扩展后门中White Atlas示例所使用的更高级且高度混淆的Javascript脚本。为了便于清除,该脚本为扩展写出extension.json配置文件并用于删除自身简单的任务。

IcedCoffee(冰咖啡)

Turla首次涉足成熟的Javascript后便开始使用IcedCoffee后门。在2016年6月的“Ice Turla”私人报告(可供卡巴斯基APT智能服务的客户使用)中我们可以看到相关的报道。不过最近它们部署的KopiLuwak后门功能更加复杂和全面。 IcedCoffee最初被漏洞利用相关的RTF文档丢弃,后来又被支持宏的Office文档丢弃。 用于删除IcedCoffee的宏代码是White Atlas中与许多Turla工具中的代码共享一致的修改过的版本。 一个值得注意的与宏代码相关的改变是添加了一个简单的Web信标,它在执行宏时将基本信息转发给Turla控制的服务器。这个操作不仅有助于简要记录被攻击者,还可以用于追踪攻击是否有效。

IcedCoffee是一个基础后门,它使用WMI从系统中收集各种用户信息,然后用base64编码,用RC4加密并通过HTTP POST提交给C2服务器。 IcedCoffee没有内置命令功能,而是可以从C2服务器接收javascript文件,这些文件在内存中进行反模糊处理和执行,在磁盘上不留任何痕迹进行取证分析。 但IcedCoffee没有被广泛部署,而是被用于欧洲政府外交官、大使。

KopiLuwak

2016年11月,卡巴斯基实验室从新一期的攻击化宏文档中观察到了一个新的、严重混淆的Javascript有效载荷,我们将其命名为KopiLuwak(世界上最稀有和昂贵的咖啡类型之一)。 这种新型恶意软件的定位与早期的Turla运营一致,主要集中用在在欧洲政府,但它比IcedCoffee更有选择性地部署。

KopiLuwak脚本非常类似于之前在IcedCoffee中看到的代码。这些脚本均是由宏代码解码,但生成脚本并不是最后一步。在该脚本的执行中,我们使用相关参数作为RC4的密钥,而该参数可解密包含系统信息以及命令和控制信标功能的javascript附加层。 KopiLuwak搭建了功能更为全面的系统和网络侦察工具。所以像IcedCoffee脚本在磁盘上留下的痕迹很少,以便调查人员无法发现其基本的内容。
与IcedCoffee不同,KopiLuwak包含一组基本的命令,例如运行任意系统命令和自行卸载。 在2017年中期新版本发布,在新版本中该命令集得到了进一步增强。内容包括文件下载和数据泄露功能。

在2018年中期,KopiLuwak有所变化,当时我们观察到叙利亚和阿富汗的小部分系统被定位为新的传递载体。 在这个事件中,KopiLuwak后门被编码并以一个Windows快捷方式(.lnk)文件呈现。 lnk文件特别有趣,因为它们包含的用于解码和释放有效负载的powershell代码几乎与一个月前Zebrocy黑客人员所使用的代码相同。

碳(Carbon攻击工具)—尾随其后

Carbon继续被部署在中亚的政府和外交事务相关组织中。 自2014年以来,该地区的Carbon部署已经转移到少数几个国家。在这里,我们发现了一个新的配置装置v3.8.2和一个部署到多个系统的新注入传送库v4.0.8。 虽然我们无法确定注入攻击的具体交付事件,但其呈现的现象与meterpreter的存在相吻合。

meterpreter的依赖性也与我们在2017年底和2018年初记录的Turla使用开源工具这一事件相吻合。
2014年报告的Epic Turla运营涉及高度选择性的Carbon交付操作影响了数百名受害者。 这些系统中只有一小部分被升级为“Carbon框架”恶意软件,甚至少量的人因为“极端持久性”而收到了Snake rootkit的攻击。 众所周知,Carbon具有悠久的历史和非常有选择性的交付,是一个复杂的代码库,并且与Snake rootkit的开发和部署相吻合。 有趣的是这个代码库目前正在处于修改阶段,预计在2018年此代码库会将其他变种部署到目标上去。

我们期望对Carbon框架代码进行修改并预测出这个成熟代码库部署在中亚以及可控区域将持续到2019年。 针对这样复杂模块的研究必须付出一些努力和投入,而相应的装载工具/注入工具和横向移动恶意软件将会更改为开源,这个后门程序包及其基础设施很可能在短期内不会被完全替换。

.JS附件提供Skipper / WhiteAtlas和WhiteBear

我们在2017年初向客户介绍了WhiteBear可操作数据,并在8个月后公开分享了该报告的相关分析。 同样,这系列活动持续超出了我们的预期。 这是一件十分有趣的事情,因为WhiteBear与KopiLuwak同样拥有相同的受损架构:soligro [.] com。 WhiteBear脚本spearphish附件也跟进了最初的WhiteAtlas脚本开发和部署工作。

Mosquito改变了2018年的交付技术

在2018年3月,我们的私人报告客户收到了关于Mosquito包含无文件和定制的Posh-SecMod metasploit组件的可操作数据。 当该组织的metasploit使用被公之于众时,他们的策略也发生着变化。
“DllForUserFileLessInstaller”注入模块维护了2017年11月22日的编译日期。Mosquito开始使用它将ComRAT模块注入到2018年1月左右的内存中。它是一小段用于解决Wow64的问题的metasploit注入代码。 此外,相关的开源PowerShell注册表加载器代码被修改,为避免使用AES算法,他们选择了3DES加密以代替。 这是修改后的Mosquito代码:

这是他们从中删除的默认Posh-SecMod代码:

我们期望在整个2018年看到来自Mosquito的更多基于开源的无文件组件和内存加载器。也许这种恶意软件能力的增强表明他们对维持攻击当前受害者比开发攻击性技术更感兴趣。

中间人攻击与躲避Mosquito网络

我们于2017年初向我们的英特尔客户提供了有关Mosquito的可操作数据。我们的初步调查结果包括了针对木马安装程序的合法下载URL:
hxxp://admdownload.adobe[.]com/bin/live/flashplayer23ax_ra_install.exe
虽然我们当时无法准确识别中间人攻击,但这些事件很可能使用WiFi中间人攻击或路由器。 考虑到全球多个远程位置的目标,使用ISP级别的FinFisher中间人攻击是不太可能的。
然而还有更多的事件需要详述。 在某些情况下,两个“.js”文件被写入磁盘,受感染的系统被配置为在启动时运行它们。 他们的命名使系统可以了解他们本身的意图,即通过谷歌应用程序远程更新恶意软件,并通过在每次启动时加载和运行“1.txt”来维护本地设置更新。 在某种程度上,这种分阶段的脚本加载技术似乎与过去专注于欧洲政府组织的Turla事件中观察到的IcedCoffee javascript加载技术一致。 从服务器端提供更新也会减少恶意软件的出现。

google_update_checker.js
local_update_checker.js

因此,由于尚未公开记录,我们应该考虑Mosquito Turla在这些更新期间进行的wifi数据收集活动。 编写并运行此local_update js文件后,几个Mosquito安装程序包执行的第一步是使用命令行调用所有本地主机的WiFi配置文件(设置和密码),并将其导出到%APPDATA%\ <profile> .xml:</profile>

cmd.exe /c netsh wlan export profile key=clear folder="%APPDATA%"

然后,他们通过调用ipconfig和arp -a来收集更多网络信息。 维持目标网络正在进行的主机wifi凭证收集工作,使得恶意软件更容易对wifi网络的持续访问以便进行欺骗和中间人攻击。因为暴力破解或以其他方式破解弱安全的WiFi网络是不必要的。 这种依赖于位置的入侵和访问的特定方法对于Mosquito Turla而言正在摒弃,因为我们还没有发现提供木马化代码的新URL。

下一次打击

观察目前正在进行的攻击与其他APT活动是否具有相似性非常有趣的。 我们注意到Turla没有出现在里程碑式的DNC黑客活动中,不过Sofacy和CozyDuke都在场,但Turla在全球其他的项目中依然活跃,并为这一群体的持续运作提供了一些见解和信心。 有趣的是,与这些组织相关的攻击方法尚未公开,但Turla活动却正在悄然进行。

Turla的Mosquito和Carbon项目主要关注外交和国外事务。 虽然WhiteAtlas和WhiteBear活动在全球范围内扩展到外事相关组织,但并非所有受害方都始终遵循此配置。 科学和技术中心也成为攻击目标,政治领域以外的组织也受到关注。 Turla的KopiLuwak活动并不一定关注外交/国外事务,也不一定会走上另一条道路。 相反,2018年的活动针对政府相关的科学和能源研究组织、阿富汗政府相关的通信组织。 这种高度选择性等更为广泛的定位设置很可能会持续到2019年。
从攻击目标角度来看,我们看到KopiLuwak和WhiteBear活动之间的联系更为紧密。Mosquito和Carbon活动之间也如此。

WhiteBear和KopiLuwak在部署不寻常的.js脚本时拥有基础架构。 当我们看到更多的meterpreter和注入代码时,开源攻击性恶意软件可能会更多地出现在Mosquito和Carbon攻击中,而更多独特创新的复杂恶意软件将继续被KopiLuwak所使用并可能受到WhiteBear的关注。 正如我们从先前的zebrocy鱼叉式网络钓鱼技术看到的那样,技术会不断地被传递并被重复使用。

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖