Turla APT组织使用新后门攻击阿富汗、德国和美国

安全
与俄罗斯有关的网络间谍组织Turla,再次成为新闻焦点,该APT组织在最近一波攻击中采用了一个新的后门。

[[425451]]

与俄罗斯有关的网络间谍组织Turla,再次成为新闻焦点,该APT组织在最近一波攻击中采用了一个新的后门。

Turla APT组织使用新后门攻击阿富汗、德国和美国

9月22日,security affair网站披露,思科Talos团队(Cisco Talos)研究人员发现,至少从2020年开始,俄罗斯Turla APT组织使用了一个名为TinyTurla的新后门,对美国、德国和阿富汗进行了一系列攻击。

在塔利班接管该国政府以及美国及其盟国的所有军队撤出之前,威胁者攻击了阿富汗实体,因此Talos推测,此次攻击目标可能是阿富汗政府。

研究人员发现TinyTurla能够实现多种功能,例如上传和执行文件和有效载荷,创建子进程,以及渗出数据。攻击者使用一个.bat文件来传递后门,该文件以一个名为w64time.dll的服务DLL形式出现,但尚未发现TinyTurla后门是如何安装在受害者系统上。

Talos研究人员在发表的分析报告中称,攻击者将后门作为一项服务安装在受感染的机器上,他们试图通过将该服务命名为"Windows Time Service",像现有的Windows服务一样,在雷达下运作。

以前未被发现的后门可能被用作第二次攻击的后门,以防备主要的Turla恶意软件被删除。该后门允许攻击者保持对受感染系统的持续访问。

Turla APT组织过往战绩”显赫“

Turla APT组织(又名Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON)至少自2004年以来,一直活跃在中东、亚洲、欧洲、北美、南美以及前苏联集团国家的外交和政府组织及私营企业中。

之前被Turla APT组织攻击的机构名单包括五角大楼、瑞士国防公司RUAG、美国国务院、欧洲政府实体和美国中央司令部。

Talos检测到了许多复杂的Turla操作,例如,攻击者经常使用和重新使用被破坏的服务器进行操作,通过SSH访问这些服务器。

Talos称:将这个后门和Turla联系在一起的依据是,他们使用的基础设施与以往Turla APT组织攻击所使用的基础设施相同。

参考文章:

https://securityaffairs.co/wordpress/122437/apt/turla-apt-new-backdoor-afghanistan.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-09-26 07:24:09

阿富汗Turla APT恶意软件

2021-09-06 15:28:08

比特币加密货币阿富汗

2023-10-24 15:25:09

2014-05-29 11:29:42

2011-11-11 14:08:34

飞轮UPS美军驻阿富汗基地数据中心

2010-07-27 16:10:22

2022-05-10 11:51:42

APT组织网络攻击

2021-10-26 11:47:22

微软office漏洞黑客

2021-10-21 08:56:34

APT组织漏洞攻击

2010-01-28 09:44:44

2011-10-11 10:33:12

2021-10-27 13:10:05

HarvesterAPT恶意软件

2010-07-28 10:42:23

泄密网站

2013-09-29 09:49:14

2023-05-18 22:46:41

2014-09-18 10:29:37

APTAPT攻击组织Pitty Tiger

2024-04-19 13:29:45

2011-12-30 09:40:28

2024-01-18 17:43:47

点赞
收藏

51CTO技术栈公众号