意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 起底国家级APT组织：Turla（APT-Q-78）

起底国家级APT组织：Turla（APT-Q-78）

时间：2021-09-23 作者：虎符智库

分享到：

起底国家级APT组织：Turla（APT-Q-78）

本文2915字阅读约需8钟

国家级APT（AdvancedPersistentThreat，，，，，，高级一连性威胁）组织是有国家配景支持的顶尖黑客团伙，，，，，，专注于针对特定目的举行恒久的一连性网络攻击。。。。。。

意昂体育-科技赋能场景,让娱乐更有趣!旗下高级威胁研究团队红雨滴（RedDripTeam）每年会宣布全球APT年报【1】、中报，，，，，，对昔时各大APT团伙的运动举行剖析总结。。。。。。

虎符智库特约意昂体育-科技赋能场景,让娱乐更有趣!旗下红雨滴团队，，，，，，开设“起底国家级APT组织”栏目，，，，，，逐个起底全球各地区活跃的主要APT组织。。。。。。本期锁定意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队重点监控的APT组织Turla。。。。。。

02

Turla

Turla是专门针对政府的著名国家级黑客团伙，，，，，，属于东欧某国情报机构。。。。。。其攻击运动涉及45个国家，，，，，，主要针对外交部分、政府机构、军事机构、科研机构等组织窃取主要情报。。。。。。

起底国家级APT组织：Turla（APT-Q-78）

Turla被视为迄今为止最为高级的威胁组织之一，，，，，，因而是意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队重点监控的APT组织。。。。。。

配景

Turla，，，，，，也被称为VenomousBear、WaterbugUroboros，，，，，，是迄今为止最为高级的威胁组织之一，，，，，，被以为隶属于东欧某国情报机构。。。。。。该组织最早可以溯源到1996年，，，，，，但在2014年才被卡巴斯基实验室首次发明。。。。。。

Turla是意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队重点监控的APT组织，，，，，，内部编号为APT-Q-78。。。。。。

Turla发动的攻击运动涉及45个国家，，，，，，主要针对外交部分、政府机构、军事机构、科研机构等组织窃取主要情报，，，，，，现在已知受害单位包括美国中央司令部、德外洋交部、瑞士军工企业RUAG等。。。。。。别的Turla还会针对俄罗斯境内保存糜烂嫌疑的目的举行攻击。。。。。。

攻击特点手段、工具

Turla使用的后门及工具种类繁多且难以追踪。。。。。。常见攻击方法包括鱼叉攻击、Web渗透入侵、网络挟制、水坑攻击、U盘社交攻击等。。。。。。

（一）攻击工具

Turla在历史攻击运动中使用工具包括数据网络和shell执行功效的后门、具有远控和监控功效的组件以及开源工具等。。。。。。

Turla使用的后门及工具种类繁多且难以追踪，，，，，，不但拥有富厚的军器库还拥有大宗开发职员，，，，，，能够实时举行手艺更新。。。。。。

其使用工具有以下特点：

1.Turla提倡的网络特工运动主要针对Windows平台，，，，，，使用的恶意软件较为重大，，，，，，能够开发多语言情形的自研特马和开源木马，，，，，，其中部分特马更新迭代至今仍被使用。。。。。。

2.Turla组织在长期化设计部分使用多种方法，，，，，，如将Powershell的攻击焦点载荷储于Windows注册表项中、注册自启效劳实现长期化等方法，，，，，，体现了Turla工具开发职员的设计偏好。。。。。。

3.为了包管落地攻击载荷适配多种PC情形使其稳固运行，，，，，，Turla组织的攻击组件中大多保存情形适配、工具探测、清静机制绕过等相关的代码。。。。。。

4.Turla入侵后载荷在运行控制以及隐匿性设置方面均保存显着指纹特征，，，，，，善于文件隐藏、控制木马运行频率、使用RPC集群监听等。。。。。。

5.Turla攻击组件中在加密算法的选择或编写、密钥天生等方面体现的十分个性化，，，，，，不使用常见的古板加密算法，，，，，，具有自己奇异的加密气概。。。。。。

下表凭证攻击阶段将其使用后门举行先容，，，，，，包括自研特马和开源木马。。。。。。

起底国家级APT组织：Turla（APT-Q-78）

（二）攻击方法

Turla组织常见攻击方法包括鱼叉攻击、Web渗透入侵、网络挟制、水坑攻击、U盘社交攻击等。。。。。。

Turla初始攻击善于使用社会工程学手段的鱼叉攻击以及水坑攻击来投递攻击载荷，，，，，，使用后门后网络PC数据决议是否举行下一阶段攻击。。。。。。后续会配合攻击者远程交互举行局域网内横移渗透，，，，，，通过管道协议的RPC通讯举行局域网段监听。。。。。。

1.鱼叉攻击

Turla善于使用夹带恶意程序以及误差的文件通过电子邮件举行投递，，，，，，并通过社会工程学诱导用户点击执行文件。。。。。。鱼叉攻击载荷通常为误差文件、宏文件、伪装装置包。。。。。。

2.水坑攻击

Turla偏幸使用水坑攻击，，，，，，引诱目的受害者会见其C2效劳器，，，，，，主要分为诱饵垂纶以及误差攻击，，，，，，其中大部分用于制造水坑的网站均是正当网站。。。。。。早期Turla喜幸亏网站中嵌入JavaScript代码，，，，，，在用户会见的时间执行，，，，，，其功效大多为获取浏览器的插件列表，，，，，，屏幕区分率等信息。。。。。。近期，，，，，，Turla的攻击方法更为直接，，，，，，在举行指纹识别后下发恶意的AdobeFlash装置包。。。。。。

3.数字卫星电视系统挟制

自2007年以来，，，，，，Turla使用卫星通讯中固有的清静缺陷，，，，，，隐藏C2效劳器的位置和控制中心。。。。。。该组织倾向于选择使用仅笼罩非洲地区的卫星提供商。。。。。。这使得非洲以外国家的研究职员极其难以视察Turla小组的运动，，，，，，其中卫星IP集中在非洲和中东地区。。。。。。

4.MITM流量挟制与改动

Turla在一再行动中，，，，，，都会通过获取焦点路由的权限甚至挟制要害节点，，，，，，并通过MITM（中心人攻击）来挟制Adobe的网络。。。。。。使得用户在请求下载最新的软件更新包时，，，，，，替换用户的下载内容，，，，，，在用户无感的情形下，，，，，，下载恶意软件，，，，，，并完成对目的主机的控制。。。。。。此种方法需要获取焦点路由的权限，，，，，，甚至需要针对企业/政府的要害节点举行挟制。。。。。。

着名攻击事务

（一）MoonlightMaze运动

MoonlightMaze【2】是90年月美国遭受的一次网络攻击运动。。。。。。该运动最终指向俄罗斯政府，，，，，，一台位于莫斯科的盘算机毗连了相关大学的机械并将其作为跳板攻击赖特-帕特森空军基地。。。。。。该运动在靠近20年后，，，，，，被关联到Turla组织。。。。。。2017年，，，，，，卡巴斯基在一台古老的机械中发明了MoonlightMaze木马，，，，，，该木马与Turla组织的Linux后门Penquin一样，，，，，，基于LOKI2后门举行开发。。。。。。也是唯逐一个使用LOKI2后门举行开发的APT组织。。。。。。

（二）Agent.BTZ运动【3】

2008年，，，，，，在中东美国军事基地的停车场，，，，，，有美国武士捡到熏染了Agent.BTZ的U盘，，，，，，并插入毗连到美国中央司令部的条记本电脑中。。。。。。蠕虫病毒从那里撒播到美国五角大楼总部系统。。。。。。最后花了快要14个月的时间才从军事网络上扫除了蠕虫。。。。。。后续研究发明，，，，，，Turla组织的木马与Agent.BTZ在代码和的行为上保存关联。。。。。。因此，，，，，，此次攻击运动被归到Turla，，，，，，被以为是史上最著名的攻击运动之一。。。。。。

（三）RedOctober运动

2007年到2013年时代，，，，，，RedOctober【4】恶意软件接纳垂纶式攻击模式，，，，，，攻击了39个国家的外交使馆、政府和科研机构。。。。。。浚�？？？？？？ò退够饰霰ǜ娉�，，，，，，RedOctober幕后运营者多用俄语为代码，，，，，，并且攻击运动中会获取Agent.BTZ木马所释放的thumb.dd文件，，，，，，因此归因至Turla组织。。。。。。

（四）SolarWinds攻击运动

2020年12月13日，，，，，，FireEye宣布了关于SolarWinds【5】供应链攻击的通告，，，，，，基础网络治理软件供应商SolarWindsOrion软件更新包中被黑客植入后门。。。。。。本次供应链攻击事务波及规模极大，，，，，，包括政府部分，，，，，，要害基础设施以及多家全球500强企业，，，，，，造成的严重影响。。。。。。随后，，，，，，美视察机构宣布团结声明称网络攻击可能源自俄罗斯。。。。。。2021年1月，，，，，，卡巴斯基宣布报告称【6】，，，，，，SolarWinds供应链攻击事务中的Sunburst后门代码与俄罗斯APT组织常用木马Kazuar后门保存代码重叠，，，，，，证实了美国的结论，，，，，，因此SolarWinds供应链事务可能来自Turla。。。。。。

总结

Turla背后有着强盛的政府资源，，，，，，能够为其提供富厚的网络武器和人力支持。。。。。。这一切导致Turla的攻击历程繁琐，，，，，，运动轨迹隐藏性，，，，，，难以追踪。。。。。。

从攻击目的和攻击事务来看，，，，，，该组织主要围绕着政治、外交和军情三方面举行攻击；；；；；；；；同时，，，，，，善于对攻击手段举行立异开发，，，，，，整体而言属于APT组织中的领先者和立异者。。。。。。

注解

https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf

https://www.kaspersky.com/blog/moonlight-maze-the-lessons/6713/

https://securelist.com/agent-btz-a-source-of-inspiration/58551/

https://www.kaspersky.com/about/press-releases/2013_kaspersky-lab-identifies-operation--red-october--an-advanced-cyber-espionage-campaign-targeting-diplomatic-and-government-institutions-worldwide

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

https://usa.kaspersky.com/about/press-releases/2020_na-kaspersky-experts-connect-solar-winds-attack-with-kazuar-backdoor

关于作者

意昂体育-科技赋能场景,让娱乐更有趣!红雨滴团队（RedDripTeam，，，，，，@RedDrip7），，，，，，依托全球领先的清静大数据能力、多维度多泉源的清静数据和专业剖析师的富厚履历，，，，，，自2015年一连发明多个包括海莲花在内的APT组织在中国境内的恒久运动，，，，，，并宣布海内首个组织层面的APT事务揭破报告，，，，，，开创了海内APT攻击类高级威胁系统化揭破的先河。。。。。。阻止现在，，，，，，一连跟踪剖析的主要APT团伙凌驾46个，，，，，，自力发明APT组织13个，，，，，，一连宣布APT组织的跟踪报告凌驾90篇，，，，，，按期输出半年和整年全球APT运动综合性剖析报告。。。。。。

推荐产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】