Turla Apt Group Beefs Up Cyber攻击工具
根据网络安全公司ESET的研究人员,Turla Cyber Espionage集团使用的基于新的PowerShell的工具提高了本集团的持久性和隐身能力。
Turla,也称为Snake,现在正在使用PowerShell脚本,它提供直接,内存加载和执行恶意软件可执行文件和库。
Microsoft PowerShell是IT管理员常用的合法脚本语言,用于突出系统并自动执行管理任务。
这意味着使用基于PowerShell的工具使攻击者能够绕过当磁盘上丢弃恶意可执行文件时触发的所有安全控件。
PowerShell和其他无丝克的使用是通过网络攻击者的普及,作为通过避免使用传统恶意软件文件来启动攻击的攻击方式。
Turla以复杂的恶意软件而闻名,据信自2008年以来,它遭到违反美国军方时一直在运营。它还参与了对欧洲和中东政府实体的重大攻击,包括德国外国办事处和法国军队。
最近,ESET研究人员使用PowerShell脚本检测到东欧的外交实体攻击若干袭击。
“很可能与其他传统的Turla目标全球使用相同的脚本,”ESET研究员Matthieu Faou说。
“以及Turla的新PowerShell Loader,我们发现并分析了几个有趣的有趣机床,包括RPC [远程过程调用] - 基于后门和PowerShell BackDoor利用Microsoft的云存储服务,Onedrive,作为其命令和控制[C&C]服务器。“
通过伞形名称PowerShell / Turla检测到的PowerShell装载机,与其在系统中持续存在的简单滴定器中,因为它们仅在系统中仅加载到内存中嵌入的可执行文件时。
在一些示例中,ESES研究人员发现,Turla开发人员修改了他们的PowerShell脚本来绕过Windows Antimalware扫描界面(AMSI),允许应用程序和服务与机器上存在的任何抗动软件产品集成。研究人员表示,这种技术导致AntimalWare产品无法从AMSI接口接收数据以进行扫描。
“然而,这些技术不会阻止检测到内存中的实际恶意有效载荷,”福豆说。
在Turla最近使用的有效载荷中,他说两个脱颖而出。首先是一组依赖于RPC协议的整组楼层。这些后门表示,Faou,用于执行横向运动,并控制本地网络中的其他机器,而不依赖于外部C&C服务器.Second是PowerStallion,使用Onedrive作为C&C服务器的轻量级PowerShell后台。
“我们相信这款后门是一个恢复的访问工具,以防主修路后门被移除,运营商无法再访问受妥协的计算机,”福豆说。
他说,ESET研究人员已经发布了一个博客,并在他们对Turla的Powershell脚本分析结果来帮助防守者柜台,他说。
