间谍软件是恶意程序的一种,能够在受害者不知情的情况下,在其计算机上安装后门并收集个人信息或其他敏感信息。
Turla被认为是史上最复杂的APT(高级持续性威胁)间谍软件,由BAE的安全研究人员首次发现。研究人员认为它由是由俄罗斯 络专家开发的,并且很可能属于莫斯科政府 络武器计划的一部分。
ESET的研究人员最近发现,Turla目前仍处于活跃状态,并且经过了新技术的升级改造,正在用于针对后苏联各国使领馆的新活动。
Turla目前被发现正使用 交工程来诱骗不知情的目标人员执行虚假的Adobe Flash Player安装程序,旨在窃取敏感信息。
虽然,在之前的活动中,Turla也采用了伪装成Flash Player的攻击方式。但根据ESET的介绍,Turla背后的团队不仅将其后门与合法的Flash Player安装程序捆绑在一起,而且进一步复合,确保它使用的URL和IP地址似乎与Adobe的合法基础结构相对应。如此做法,可以使得受害者更容易相信软件来自Adobe官方,而不会怀疑其是恶意程序。
ESET的研究人员已经提出了几个假设(如下图所示),展示了Turla是如何通过新方法将后门程序安装到受害者的计算机上的。
研究人员考虑到的攻击媒介可能包括:
受害者组织 络内的一台设备可能被劫持,因此它成为了中间人(MitM)攻击的跳板。这将实际上涉及将目标设备的流量重定向到本地 络上的受感染设备;
攻击者还可能危及组织的 关,使其能够拦截该组织的内 和互联 之间的所有传入和传出流量;
通信拦截也可能发生在互联 服务提供商(ISP)的层面上,这一策略(最近ESET针对部署FinFisher间谍软件的监视活动的研究就证明了这一点)并不是前所未闻的。所有已知的受害者都位于不同的国家,研究人员使用至少四个不同的ISP来识别他们。
攻击者可能使用边界 关协议(BGP)劫持重新路由流量到Turla控制的服务器,虽然这种策略可能会相当迅速地触发与Adobe或BGP监控服务相关的警 。
一旦虚假Flash Player安装程序被下载并执行,几个后门程序中的一个将会被安装。它可能是Mosquito,一种Win32恶意软件。恶意JavaScript文件与Google Apps脚本上托管的Web应用程序通信,或者是从伪造的和不存在的Adobe URL下载的未知文件。
后门程序将会窃取受害者的敏感信息,这包括受感染计算机的唯一ID、用户名以及安装在设备上的安全产品列表。
在这个过程的最后一部分,虚假Flash Player应用程序将会自行卸载,然后运行合法的Flash Player应用程序。后者的安装程序要么嵌入在其伪造的对象中,要么从Google Drive下载。
此外,ESET的研究人员表示,已经在实际攻击活动中发现了后门程序Mosquito的新变种样本。它使用了新的反调试、反仿真(anti-emulation,anti-VM)技术和代码混淆技术,使得恶意软件研究人员和安全软件的代码分析变得更困难。
为了在系统上建立持久性,安装程序还会篡改操作系统的注册表,并创建一个允许远程访问的管理帐户。
主后门CommanderDLL有.pdb扩展名。它使用自定义的加密算法,并可以执行某些预定义的操作,通过加密的日志文件跟踪受感染设备上的所有内容。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!