俄网络间谍组织 Turla 被指利用多个后门攻击欧洲政府机构

Turla 也被称为 “Snake”、“Waterbug”、”Venomous Bear”、“Belugasturgeon” 和 “KRYPTON”，至少活跃于2006年。今年早些时候，Turla 更新了其最古老的恶意软件家族 ComRAT，以确保其效率。

埃森哲本周发布报告称，黑客继续更新遗留工具，利用自定义恶意软件攻击政府组织机构。

实际上，在最近针对欧洲某组织机构的一次攻击中，Turla 被指利用了多个基于远程程序调用（RPC）的后门，包括 HyperStack 后门、Kazuar 和 Carbon 远程管理木马 (RATs) 等。

研究人员指出，“RATs 负责传输命令执行结果以及从受害者网络提取数据，而基于 RPC 的后门利用 RPC 协议执行横向移动并在本地网络中的其它机器上发布并接收命令。这些工具通常包括多个混淆层以及防御逃避技术。”

鉴于利用这些工具组合获得的成功，预计 Turla 将继续利用该生态系统攻击 Windows 网络。Turla 还被指在攻陷活动中利用多种命令和控制实现，确保如被发现，仍然可重新获取访问权限。

最初在2018年被发现的 HyperStack 后门的功能已被更新，并为 RPC 执行应用命名管道。至于横向移动，它试图连接到一台远程设备的 IPC$ share 转发 RPC 命令。

这次攻击活动中使用的恶意软件披露了对传统 C&C 实现的使用，如被攻陷的 Web 服务器和合法的 Web 服务如 Pastebin。Kazuar 的一个变体可接受通过受陷网络中的内部节点接收命令，而其它变体则应用外部节点。

埃森哲公司总结称，“Turla 可能将继续使用其升级后的遗留工具，攻陷并维护对受害者的长期访问权限，因为这些工具已经证实对 Windows 网络有效。尤其是政府实体，应该检查网络日志中是否存在受陷指标并构建针对该威胁组织的检测活动。“