نگاهی به فعالیت‌های گروه APT Turla

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

نگاهی به فعالیت‌های گروه APT Turla
q1001
گروه APT Turla که با نام‌های Venomous Bear ،Waterbug و Uroboros نیز شناخته‌می‌شود، گروهی است که از روت‌کیت Snake بهره می‌برد.

 q1002

گروه APT Turla که با نام‌های Venomous Bear ،Waterbug و Uroboros نیز شناخته‌می‌شود، گروهی است که از روت‌کیت Snake بهره می‌برد.
q1003
پژوهشگران کسپرسکی فعالیت‌ها و بدافزارهای گروه APT Turla را بررسی کرده‌اند. آنها ۶ مجموعه مختلف از فعالیت‌های مخرب Turla را در دو سال گذشته شناسایی کرده‌اند. هریک از این مجموعه‌ها مرتبط با عملیات یا بدافزاری هستند که کشورهای مختلف را هدف قرار داده‌اند. حوزه‌های مورد هدف مهاجمان رسانه‌های بین‌المللی، نهادهای دولتی آکادمیک و پژوهش‌های انرژی، امور خارجه، نهادهای امنیتی و نظامی و دانشگاه‌ها هستند. برخی از بدافزارهای استفاده شده توسط این گروه به‌صورت زیر است:

بدافزار IcedCoffee
این بدافزار از طریق فایل‌های RTF و اسناد آفیس دارای کدهای ماکرو منتقل می‌شود. IcedCoffee از WMI استفاده می‌کند تا اطلاعات مختلفی را از سیستم و کاربر جمع‌آوری کند و سپس آن‌ را با base64 کدگذاری می‌کند و با RC4 رمزگذاری می‌شود. در ادامه از طریق HTTP POST به سرور کنترل و فرمان C&C ارسال می‌شوند.

در این بدافزار هیچ دستوری تعبیه نشده‌است و با دریافت فایل‌های مبهم‌سازی‌نشده جاوا‌اسکریپت از سرور C&C دستورات دریافت و در حافظه اجرا می‌شوند. بدین‌صورت اثری در دیسک برای انجام فرایندهای جرم‌شناسی باقی نمی‌گذارد. این بدافزار به‌طور گسترده توزیع نشده، اما دیپلمات‌ها را هدف قرار داده‌است.

بدافزار KopiLowak
این بدافزار نیز مشابه IcedCoffee است و اطلاعات جامع‌تری را از سیستم و شبکه قربانی جمع‌آوری می‌کند و مشابه IcedCoffee اثر کمی از خود برجای می‌گذارد. برخلاف IcedCoffee، بدافزار KopiLowak دارای چندین دستور اولیه است، ازجمله اجرای دستورات سیستمی دلخواه و حذف خود بدافزار از سیستم. در نسخه بالاتر، قابلیت‌های استخراج داده در آن تعبیه شده‌است.

در اواسط سال ۲۰۱۸، مجموعه‌ای کوچک از سیستم‌های کشورهای سوریه و افغانستان توسط این بدافزار آلوده شدند که در آنها از فایل‌های میان‌بر ویندوز (LNK) بهره‌برداری شده‌است.

بدافزار Carbon
Cabon علیه دولت و وزارتخانه‌های امور خارجه در کشورهای آسیای مرکزی مورد استفاده قرار گرفت. بدافزار Carbon هزاران قربانی را تحت‌تاثیر قرار داده‌است.

بدافزار Mosquito
بدافزار دیگر این گروه، Mosquito است که از مولفه‌های بدون فایل بهره‌می‌برد. برای انتقال این بدافزار به رایانه قربانی از تکنیک MiTM یا مرد میانی استفاده شده و بدافزار در فایل‌های نصبی آلوده به تروجان قرار داده شده‌است. نوع تکنیک MiTM استفاده شده به‌طور کامل مشخص نیست، اما به‌نظر می‌رسد از FinFisher MiTM در سطح ISP استفاده شده‌است.

شواهد نشان می‌دهد که فعالیت‌های این گروه همچنان پایدار است و از سرعت آنها کاسته نشده‌است.
مرجع : مرکز مدیریت راهبردی افتا