.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Turla(又名Pensive Ursa、Uroburos、Snake)是一個至少從2004年開始運行,總部位於俄羅斯的一個攻擊組織。該組織與俄羅斯聯邦安全局(FSB)有一定聯繫。接下來,我們將在這篇文章中介紹Pensive Ursa工具庫中最近活躍的10種惡意軟件:Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。
MITRE ATTCK稱Turla是以其有針對性的攻擊和隱身而聞名,多年來,Pensive Ursa已經成為一個先進而難以被發現的惡意軟件。
正如MITRE所描述的那樣,Pensive Ursa已對至少45個國家發起過攻擊,包括政府實體、大使館和軍事組織,以及教育、研究和製藥公司。此外,該組織還參與了2022年2月開始的俄烏衝突。據烏克蘭CERT稱,Pensive Ursa利用間諜攻擊烏克蘭目標,特別是針對其國防部門。
雖然Pensive Ursa主要利用他們的間諜工具瞄準Windows設備,但也會攻擊macOS和Linux設備。
以下是該團隊工具庫中最活躍的10種惡意軟件。對於每種類型的惡意軟件,我們都提供了簡短的描述和分析,以及Cortex XDR如何檢測和阻止攻擊。
Capibar別名:DeliveryCheck、GAMEDAY;
惡意軟件類型:後門;
首次發現時間:2022年;
Capibar(又名DeliveryCheck,GAMEDAY)是Pensive Ursa後門,於2022年首次被觀察到,主要用於對烏克蘭國防軍進行間諜活動,通過電子郵件將其作為帶有惡意宏的文檔傳播。
Capibar通過下載並在內存中啟動負載的計劃任務而马云惹不起马云持續存在。攻擊組織將Capibar作為託管對象格式(MOF)文件安裝在受攻擊的MS Exchange服務器上,使攻擊者能夠完全控制服務器。
下圖顯示了負責加載從其命令和控制(C2)接收的XML的代碼片段,圖2顯示了觸發的警報:
Capibar代碼段加載從其C2接收的XML
Cortex XDR觸發了警報
Kazuar惡意軟件類型:後門;
首次發現時間:2017年
Kazuar是.NET後門,於2017年被首次發現。 Kazuar提供對其操作人員所針對的受感染系統的全面訪問權限,Kazuar附帶了一個強大的命令集,包括遠程加載額外插件,以增強後門功能的能力。
2021年,研究人員發現,Kazuar和俄羅斯攻擊組織在SolarWinds行動中使用的SUNBURST後門之間存在有趣的代碼重疊和相似之處。 2023年7月,烏克蘭CERT破獲了一次間諜行動,Pensive Ursa則是將Kazuar作為主要後門之一。
下圖顯示了Cortex XDR阻止將Kazuar DLL注入explorer.exe進程,下圖顯示為防止Kazuar而觸發的警報:
Kazuar被注入explorer.exe並被Cortex XDR阻止
Cortex XDR的Kazuar執行阻止警報
Snake惡意軟件類型:模塊化後門;
首次被發現時間:2003年;
正如CISA在2023年5月描述的那樣,臭名昭著的Snake惡意軟件是Pensive Ursa工具集中最複雜的工具。該工具的主要目的是實現相當長一段時間的持久性,並從專用目標中盜取數據。自2003年以來,它已經發展了20年。
Snake在全球50多個國家被發現,美國司法部發表聲明,宣布了MEDUSA行動。在該行動中,他們查獲了Snake惡意軟件活動和P2P網絡。他們使用了聯邦調查局開發的一種名為PERSEUS的工具,將其用作Snake惡意軟件的阻止攻擊。
基於先前的分析,Snake惡意軟件實現了可維護的代碼設計,這表明其開發者俱有較高的軟件開發功能。
Snake實現了以下功能:
基於HTTP和TCP的通信協議的自定義實現;
用於隱身的內核模塊;
按鍵記錄儀功能;
Snake最近的變種包括一個類似於下面描述的感染鏈。
Snake惡意軟件傳播示例執行時,Snake從其資源中加載並執行Pensive Ursa的PNG Dropper惡意軟件,並創建一個硬編碼互斥體{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C,如下圖所示:
Snake loader的資源
然後,PNG釋放器解碼並加載一個易受攻擊的VM驅動程序,該驅動程序用於權限提升,以便將主Snake負載寫入磁盤,並將其註冊為服務。下圖所示的Snake加載程序變體檢測感染鏈中的多個階段,這些階段導致部署、服務註冊和執行Snake主負載。
下圖顯示了Cortex XDR中彈出的執行阻止警報:
檢測模式下Cortex XDR中顯示的Snake執行檢測
Cortex XDR中顯示的Snake執行阻止警報
QUIETCANARY別名:Tunnus;
惡意軟件類型:後門;
首次發現時間:2017;
自2019年以來,人們一直在使用QUIETCANRY觀察Pensive Ursa,Tomiris組織甚至更早地使用了這個後門。
Pensive Ursa於2022年9月便針對烏克蘭的目標部署了QUIETCANARY,以及Kopiluwak惡意軟件。
QUIETCANRY是一個用.NET編寫的輕量級後門,能夠執行從其C2服務器接收的各種命令,包括下載額外的有效負載和執行任意命令。它還實現了RC4加密,以保護其C2通信。
下圖顯示了QUIETCANRY後門功能的不同類,展示了QUIETCANRY觸發的基於Cortex XDR多層保護的警報:
QUIETCANRY代碼中不同類的代碼段
下圖顯示了執行阻止警報:
在Cortex XDR中顯示了QUIETCANRY的警報
Cortex XDR中顯示的QUIETCANARY/Tunnus執行阻止警報
Kopiluwak惡意軟件類型:傳播器/下載器;
首次發現時間:2016年;
Kopiluwak惡意軟件於2016年底被首次發現,它是由各種類型的滴管作為多層JavaScript而進行有效負載傳播的。
Pensive Ursa在2017年的一次G20主題攻勢中使用MSIL滴管釋放了Kopiluak惡意軟件,並在2022年末作為SFX可執行文件釋放。
Kopiluwak的JavaScript文件如下圖所示,下面是C:\Windows\Temp\ path下的代碼片段。其目的是收集有關受攻擊計算機的有價值的初始分析信息,例如:
在目標位置列出文件;
檢索當前運行的進程;
顯示活動的網絡連接;
攻擊者通過運行systeminfo、tasklist、net、ipconfig和dir等偵察命令來完成此活動,結果保存在名為result2.dat的文件中。
在檢測模式下,在Cortex XDR中顯示Kopiluwak執行檢測
下圖列出了由Kopiluwak執行,並由Cortex XDR檢測到的偵察命令:
Kopiluwak的偵察命令
下圖顯示了Cortex XDR為Kopiluwak發出執行阻止警報:
Cortex XDR中顯示的Kopiluak執行阻止警報
2019年,Pensive Ursa開始使用Topinambour滴管遞送Kopiluak。該組織將Topinambour捆綁到一個合法的軟件安裝程序中。
安裝後,Topinambour作為一個小的.NET文件被放到%localappdata%文件夾中,並作為一個計劃任務寫入。然後,該惡意軟件與其硬編碼的C2虛擬專用服務器(VPS)通信,以傳遞Kopiluwak惡意軟件。
Cortex XDR在檢測模式下顯示Topinambour執行檢測
下圖顯示了Cortex XDR彈出的阻止警報:
Cortex XDR中顯示的Topinambour執行阻止警報
Crutch惡意軟件類型:後門;
首次發現時間:2015年;
2020年12月,ESET研究人員發現了Crutch後門。根據Pensive Ursa的戰術、技術和程序(TTP),攻擊者利用後門攻擊了歐洲的幾個目標,包括一個歐盟成員國的外交部。
這個後門的主要目的是竊取敏感文件,並將數據洩露到Pensive Ursa運營商控制的Dropbox帳戶。使用Dropbox等商業服務進行C2通信是一種已知的(但有效的)技術,因為它是一種合法的服務,並與其他網絡通信相融合。
由於代碼和TTP與Pensive Ursa的另一個名為Gazer的後門有很大的相似性,Crutch被認為是第二階段的後門,其持久性是通過DLL劫持實現的。
下圖顯示了Cortex XDR中Crutch的檢測和阻止:
ComRAT別名:Agent.btz;
惡意軟件類型:後門;
首次出現時間:2007年
PowerShell滴管在檢測模式下將ComRAT釋放到Cortex XDR中顯示的磁盤
ComRAT是Pensive Ursa最古老的後門之一,他們在惡意軟件的早期迭代中將其命名為Agent.btz。
據報導,ComRAT於2007年首次被發現。從那時起,它進行了多次升級,截至2020年,ComRAT已經迭代了4版。此攻擊是在C++中開發的,攻擊者已使用PowerShell植入(如PowerStalion)進行部署。
下圖顯示了PowerShell滴管機制。攻擊者在使用ComRAT時的主要目的是從高價值目標那裡竊取和洩露機密文件:
Cortex XDR中顯示ComRAT PowerShell滴管執行阻止警報
下圖描述了Cortex XDR中的PowerShell和DLL執行阻止:
Cortex XDR中顯示的ComRAT DLL執行阻止警報
Carbon惡意軟件類型:後門;
首次發現時間:2014年
Carbon是一個模塊化後門框架,Pensive Ursa已經使用了幾年。 Carbon框架包括一個安裝程序、一個協調器組件、一個通信模塊和一個配置文件。
Carbon還具有P2P通信功能,攻擊者使用該功能向受網絡上影響的其他受感染設備發送命令。 Carbon通過使用Pastebin等合法網絡服務提供商接收C2的命令。
下圖顯示了Carbon在Cortex XDR中的執行檢測和阻止:
Carbon創建了一個加載附加組件的服務,該服務在檢測模式下顯示在Cortex XDR中
Cortex XDR中顯示的Carbon執行阻止警報
HyperStack惡意軟件類型:後門;
首次亮相:2018年;
HyperStack(又名SilentMo,BigBoss)是一個RPC後門,於2018年首次被發現,攻擊者在針對歐洲政府實體的行動中使用了它。 HyperStack使用一個控制器進行操作,該控制器使用命名管道通過RPC與受HyperStack感染的受攻擊環境中的其他計算機進行通信。此通信方法使攻擊者能夠控製本地網絡上的計算機。
HyperStack顯示了與Pensive Ursa的Carbon後門的幾個相似之處,如加密方案、配置文件格式和日誌記錄約定。
下圖顯示了HyperStack在Cortex XDR中的檢測和阻止:
HyperStack創建了一個用於持久性的服務,在檢測模式下顯示在Cortex XDR中
Cortex XDR中顯示HyperStack執行阻止警報
TinyTurla惡意軟件類型:後門;
首次發現時間:2021年;
TinyTurla惡意軟件於2021年被Talos首次發現,他們認為這是第二階段的後門。美國、歐盟和後來的亞洲目標都發現了這種後門。
TinyTurla的主要功能包括:
下載其他有效負載;
向攻擊者的C2服務器上傳文件;
執行其他進程;
如下圖所示,攻擊者通過批處理腳本將後門安裝為名為WindowsTimeService的服務。批處理腳本還負責將C2服務器的數據寫入註冊表。一旦後門被執行,它讀取這些值將與其C2通信。
它偽裝成一個名為w64time.DLL的DLL,位於system32文件夾下。
上面描述的批處理腳本的內容
雖然w32time.dll是一個合法的DLL,而且其他合法的DLL確實有32位和64位的變體,但是合法的w64time.dll並不存在。這種命名慣例旨在進一步分散受害者的注意力,使他們不產生懷疑。
下圖顯示了Cortex XDR檢測批處理腳本、W64Time服務和TinyTurla DLL執行的編寫和執行:
Cortex XDR在檢測模式下顯示TinyTurla阻止
Cortex XDR中顯示TinyTurla執行阻止警報
戰術、技術和程序(TTP)Cortex XDR警報被映射到MITRE ATTCK框架,並提供與攻擊相關的戰術和技術信息,如下圖所示:
Cortex XDR的Mitre ATTCK映射
Pensive Ursa相關活動和工具庫在Cortex XDR中引發了多個警報,這些警報被映射到表1中引用的MITRE ATTCK戰術和技術。
MITRE ATTCK戰術和技術
總結眾所周知,Pensive Ursa高級持續攻擊(APT)組織是一個重要且持續存在的攻擊組織。憑藉其先進的技術,其運營組織在針對全球行業的同時,也向大眾展示了一種先進的規避方式。
我們在本文探索了Pensive Ursa工具庫中排名前十的惡意軟件,並通過Palo Alto Networks Cortex XDR監測了其執行過程。這表明針對先進攻擊使用多層保護模式的重要性。
因為Pensive Ursa APT攻擊的受害者可能會造成重大損失,其後果不僅限於財務損失和數據洩露,還包括影響關鍵基礎設施的可能性,這可能會對國家安全和地緣政治產生影響。因此,每個組織,無論其規模或行業如何,都必須優先考慮全面的安全戰略,並投資多層安全措施,以防範Pensive Ursa等APT組織日益增長的攻擊。
保護和緩解措施Palo Alto Networks Cortex X