新發現！俄羅斯APT組織Turla 正搭載已有十年之久的惡意軟件部署新的后門

據觀察，名為Turla的俄羅斯網絡間諜組織搭載了一種已有十年歷史的惡意軟件使用的攻擊基礎設施，以烏克蘭為目標提供自己的偵察和后門工具。

谷歌旗下的 Mandiant 正在跟蹤未分類集群名稱UNC4210下的操作，稱被劫持的服務器對應于 2013 年上傳到 VirusTotal的商品惡意軟件變體，稱為ANDROMEDA （又名 Gamarue）。

“UNC4210 重新注冊了至少三個過期的 ANDROMEDA 命令和控制 (C2) 域，并開始對受害者進行分析，以便在 2022 年 9 月有選擇地部署 KOPILUWAK 和 QUIETCANARY，”Mandiant 研究人員在上周發表的一份分析報告中表示。

Turla，也被稱為 Iron Hunter、Krypton、Uroburos、Venomous Bear 和 Waterbug，主要針對使用大量自定義惡意軟件的政府、外交和軍事組織。

自 2022 年 2 月俄烏沖突以來，該組織與一系列針對該國實體的憑證網絡釣魚和偵察工作有關。

2022 年 7 月，谷歌的威脅分析小組 (TAG)透露，Turla 創建了一個惡意 Android 應用程序，據稱是為了針對親烏克蘭的黑客活動分子對俄羅斯網站發起分布式拒絕服務 (DDoS) 攻擊。

Mandiant 的最新發現表明，Turla 一直在偷偷地將舊感染作為惡意軟件分發機制，更不用說利用 ANDROMEDA 通過受感染的 USB 密鑰傳播這一事實了。這家威脅情報公司表示：“通過 USB 傳播的惡意軟件仍然是獲取組織初始訪問權限的有用載體。”

在 Mandiant 分析的事件中，據說 2021年12月在一個未具名的烏克蘭組織中插入了一個受感染的 U 盤，最終導致在啟動惡意鏈接 (.LNK) 文件偽裝時在主機上部署遺留仙女座工件作為 USB 驅動器中的文件夾。

威脅行為者通過交付第一階段KOPILUWAK dropper（一種基于 JavaScript 的網絡偵察實用程序），重新利用作為 ANDROMEDA 已失效 C2 基礎設施一部分的休眠域之一（它于 2022 年 1 月重新注冊）來分析受害者。

兩天后，即 2022 年 9 月 8 日，攻擊進入了最后階段，執行了一個名為 QUIETCANARY（又名Tunnus）的基于 .NET 的植入程序，導致 2021 年 1 月 1 日之后創建的文件被泄露。

Turla 使用的交易技巧與此前有關該組織在俄烏戰爭期間進行廣泛的受害者分析工作的報道相吻合，這可能有助于它調整后續的利用工作，以獲取俄羅斯感興趣的信息。

這也是為數不多的情況之一，黑客部門被發現以不同惡意軟件活動的受害者為目標，以實現其自身的戰略目標，同時也掩蓋了其作用。

“隨著舊的 ANDROMEDA 惡意軟件繼續從受損的 USB 設備傳播，這些重新注冊的域會帶來風險，因為新的威脅行為者可以控制并向受害者提供新的惡意軟件。”研究人員說。

“這種聲稱廣泛分布的、出于經濟動機的惡意軟件使用的過期域的新技術可以在廣泛的實體中實現后續妥協。此外，較舊的惡意軟件和基礎設施可能更容易被防御者忽視，對各種警報進行分類”

COLDRIVER 瞄準美國核研究實驗室

調查結果發布之際，路透社報道稱，另一個代號為 COLDRIVER（又名 Callisto 或 SEABORGIUM）的俄羅斯國家支持的威脅組織在 2022 年初將美國的三個核研究實驗室作為目標。

為此，數字攻擊需要為布魯克海文、阿貢和勞倫斯利弗莫爾國家實驗室創建虛假登錄頁面，以試圖誘騙核科學家泄露他們的密碼。

這些策略與已知的 COLDRIVER 活動一致，該活動最近被揭穿欺騙了英國和美國的國防和情報咨詢公司以及非政府組織、智庫和高等教育實體的登錄頁面。