TinyTurla 后门,国家资助的 Turla APT 恶意软件,袭击德国和美国
Turla Advanced Persistent Threat (APT) 组织仍然是最臭名昭著的国家赞助的俄罗斯黑客之一。他们在黑客领域活跃了近十年,并且不断发展他们的方法和武器库。他们使用的黑客工具的最新添加之一是对 Turla 后门的返工。然而,新威胁的一些功能被切断了——因此它被命名为 TinyTurla 后门。尽管功能略有限制,但它仍然是一个非常危险的威胁,可以为黑客提供对渗透系统的长期访问。
目前的 TinyTurla 后门活动似乎侧重于在被黑机器上获得持久性,然后使用植入物来提供辅助有效载荷。 TinyTurla 后门的简单编码风格和有限的功能使其能够在一段时间内保持低调,逃避一些安全措施。但是,您可以放心,如今,防病毒软件可以轻松捕获它。
目前,已经在德国和美国发现了 TinyTurla 后门的活跃实例。但是,Turla 黑客很可能也已经追赶其他地区。此后门的代码与其他 Turla 植入程序的代码之间的相似性并不是相信该组织支持该项目的唯一原因——它们也使用相同的网络基础设施。
TinyTurla 后门有什么作用?
TinyTurla 后门的功能虽然有限,但仍然会带来很多麻烦。这个植入可以执行的一些命令是:
- 验证尝试访问植入物的用户 - 可能是为了防止分析师尝试控制和分析植入物。
- 执行远程命令/文件,然后将输出记录到命令和控制 (C&C) 服务器。
- 下载或上传文件。
- 切换认证密码,以及C&C服务器。
到目前为止,Turla 黑客用来传送此后门的感染媒介尚不清楚。但是,植入程序的活动副本使用与 Windows 时间服务相关的 DLL 作为伪装。恶意文件试图模仿它们使用的合法软件包或文件的情况并不少见。
自 2014 年以来,Turla APT 的活动一直是恶意软件研究人员关注的焦点。然而,网络安全研究人员认为,该国家资助组织的活动可能可以追溯到 2000 年代。