思科网络安全团队 Talos 称,俄罗斯国家资助的APT高级持续威胁组织Turla是此前无记录的入侵美国和德国等一系列新入侵事件的幕后黑手,该APT组织创造了恶意软件 TinyTurla,这个恶意软件编码风格精简高效,使得它很难被检测发现。
根据网络安全行业门户极牛网JIKENB.COM的梳理,这个精简的后门很可能作为第二次入侵的后门,即使主恶意软件被删除,也能保持对系统的访问,它还可以用作第二阶段的释放器,用其他恶意软件感染系统。此外,TinyTurla 可以上传和执行文件或将敏感数据从受感染的机器传输到远程服务器,同时每五秒轮询请求一次C2服务器以获取最新的命令。
该APT组织Turla以其针对跨越美国、欧洲和东欧国家的政府实体和大使馆的网络攻势而闻名。TinyTurla 活动涉及使用 .BAT 文件来部署恶意软件,但确切的入侵途径尚不清楚。
这个伪装成微软 Windows 时间服务(w32time.dll)的新型后门程序,通过精心的设计让自己不被发现且和C2控制服务器保持通信,持续接收进一步的指令,包括下载并执行任意进程将命令的结果上传回服务器。
TinyTurla 与 Turla 的链接来自于作案手法的重叠,此前该手法已被确定为该组织过去在其他活动中使用的相同基础设施。但这些攻击也与该机构的历史秘密活动形成鲜明对比,其中包括受损的 Web 服务器和劫持其 C2 基础设施的卫星连接,更不用说像Crutch和Kazuar这样的规避恶意软件。
研究人员指出,这是一个很好的例子,说明在当今的系统中,恶意服务是多么容易被忽视,这些系统始终被后台运行的无数合法服务所笼罩。