TinyTurla 後門,國家資助的 Turla APT 惡意軟件,襲擊德國和美國
Turla Advanced Persistent Threat (APT) 組織仍然是最臭名昭著的國家贊助的俄羅斯黑客之一。他們在黑客領域活躍了近十年,並且不斷發展他們的方法和武器庫。他們使用的黑客工具的最新添加之一是對 Turla 後門的返工。然而,新威脅的一些功能被切斷了——因此它被命名為 TinyTurla 後門。儘管功能略有限制,但它仍然是一個非常危險的威脅,可以為黑客提供對滲透系統的長期訪問權限。
目前的 TinyTurla 後門活動似乎側重於在被黑機器上獲得持久性,然後使用植入物來提供輔助有效載荷。 TinyTurla 後門的簡單編碼風格和有限的功能使其能夠在一段時間內保持低調,逃避一些安全措施。但是,您可以放心,如今,防病毒軟件可以輕鬆捕獲它。
目前,已經在德國和美國發現了 TinyTurla 後門的活躍實例。但是,Turla 黑客很可能也已經追趕其他地區。此後門的代碼與其他 Turla 植入程序的代碼之間的相似性並不是相信該組織支持該項目的唯一原因——它們也使用相同的網絡基礎設施。
TinyTurla 後門有什麼作用?
TinyTurla 後門的功能雖然有限,但仍然會帶來很多麻煩。這個植入可以執行的一些命令是:
- 驗證嘗試訪問植入物的用戶 - 可能是為了防止分析師嘗試控制和分析植入物。
- 執行遠程命令/文件,然後將輸出記錄到命令和控制 (C&C) 服務器。
- 下載或上傳文件。
- 切換認證密碼,以及C&C服務器。
到目前為止,Turla 黑客用來傳送此後門的感染媒介尚不清楚。但是,植入程序的活動副本使用與 Windows 時間服務相關的 DLL 作為偽裝。惡意文件試圖模仿它們使用的合法軟件包或文件的情況並不少見。
自 2014 年以來,Turla APT 的活動一直是惡意軟件研究人員關注的焦點。然而,網絡安全研究人員認為,該國家資助組織的活動可能可以追溯到 2000 年代。