Turla至少破壞了四個Armenian網站,其中包括兩個政府網站。因此,目標可能包括政府官員和政客。以下網站遭入侵:
armconsul [.] ru:俄羅斯亞美尼亞大使館領事處
mnp.nkr [.] am:Artsakh共和國自然保育與自然資源部
aiisa [.] am:亞美尼亞國際與安全事務研究所
adgf [.] am:亞美尼亞存款保證基金
這些網站至少從2019年初就遭到了入侵。 Turla利用非法存取向網站插入惡意JavaScript程式碼。例如,對於mnp.nkr [.] am,在jquery-migrate.min.js(常見的JavaScript函式庫)的末尾附加了混淆的程式碼,如圖1所示:
##改變程式碼會從'skategirlchina[.]com/wp-includes/data_from_db_top.php.'下載額外的JavaScript腳本。從2019年11月開始發現該網站不再傳播惡意腳本,Turla組織似乎是暫停了他們的活動。
使用者指紋與傳播鏈 造訪受感染的網頁後,skategirlchina [.]com會植入第二階段的惡意JavaScript,並為訪客的瀏覽器加上指紋。圖2顯示了此腳本的主要功能。 如果這是使用者瀏覽器第一次執行該腳本,它將新增一個evercookie,該cookie具有由伺服器提供的隨機MD5值,該值在每次執行腳本時都不同。 evercookie是基於GitHub程式碼實現的。它使用多個儲存位置(例如本地資料庫,Flash cookie,Silverlight儲存等)來儲存cookie值。與常規Cookie相比,它的持久性更高,如果使用者只是刪除瀏覽器的Cookie,它不會被刪除。 該evercookie將用於識別使用者是否再次造訪了受感染的網站。當使用者第二次造訪時,先前儲存的MD5值可以用來識別第二次存取行為。 它會收集瀏覽器插件列表,螢幕解析度和各種作業系統訊息,由POST傳送到C&C伺服器。如果有答复,則認為它是JavaScript程式碼,並使用eval函數執行。 如果攻擊者對感染目標感興趣,伺服器會用一段JavaScript程式碼回覆。此活動中Turla只對非常有限的造訪網站目標感興趣。之後會向使用者顯示假的Adobe Flash更新警告,如圖3所示,目的是誘使他們下載惡意的Flash安裝程式。 沒有觀察到任何瀏覽器漏洞的利用技術,活動中僅依靠社會工程技巧。如果使用者手動啟動了該可執行文件,則會安裝Turla惡意軟體和合法的Adobe Flash程式。圖4是從最初造訪受感染的亞美尼亞網站後惡意負載的傳遞過程。 惡意軟體 一旦使用者執行了偽造的安裝程序,它將同時執行Turla惡意軟體和合法的Adobe Flash安裝程序。因此,用戶可能認為更新警告是合法的。 Skipper 在2019年8月前,受害者將收到一個RAR-SFX,其中包含一個合法的Adobe Flash v14安裝程式和另一個RAR-SFX。後者包含後門的各種組件。最新版本是由Telsy在2019年5月記錄。 Skipper通訊模組使用的遠端JavaScript和惡意檔案伺服器為C&C伺服器,Skategirlchina [.com / wp-includes / ms-locale.php。 NetFlash and PyFlash 8月末發現了新的惡意負載,新的惡意負載是一個.NET程序,它在%TEMP%\ adobe.exe中刪除了Adobe Flash v32的安裝程序,在%TEMP%\ winhost.exe中刪除了NetFlash(.NET下載程式)。根據編譯時間戳記,惡意樣本是在2019年8月底和2019年9月初編譯的。 NetFlash負責從硬編碼URL下載其第二階段惡意軟體,並使用Windows排程任務建立持久性。圖5顯示了NetFlash功能,下載名為PyFlash的第二階段惡意軟體。也發現另一個NetFlash樣本,在2019年8月底編譯,具有不同的硬編碼C&C伺服器:134.209.222 [.] 206:15363。 第二階段後門是py2exe執行檔。 py2exe是一個Python擴展,用於將Python腳本轉換為Windows可執行檔。這是Turla開發人員第一次在後門使用Python語言。 後門透過HTTP與硬編碼的C&C伺服器通訊。在腳本的開頭指定了C&C URL以及用於加密網路通訊的其他參數(例如AES金鑰和IV),如圖6所示。此腳本的主要功能(如圖7所示)將機器資訊傳送至C&C伺服器,還包括與OS相關的命令(systeminfo,tasklist)和與網路相關的命令(ipconfig,getmac,arp )的輸出結果。
C&C伺服器也可以以JSON格式傳送後門命令。指令有:
1、從給定的HTTP(S)連結下載其他檔案。
2、使用Python函數subprocess32.Popen執行Windows指令。
3、修改Windows任務,定期(每X分鐘;預設為5分鐘)啟動惡意軟體。
4、殺死(卸載)惡意軟體。為了確認此指令,惡意軟體使用以下字串將POST請求傳送到C&C伺服器:
Turla仍將水坑攻擊作為其初始入侵目標的策略之一。此活動依社交工程學技巧,利用虛假的Adobe Flash更新警告來誘使用戶下載並安裝惡意軟體。另一方面,有效載荷發生了變化,可能是為了逃避檢測,惡意負載為NetFlash,並安裝名為PyFlash的後門,該後門是使用Python語言開發的。
website
http://www.armconsul[.]ru/user/themes/ayeps/dist/js/bundle.0eb0f2cb2808b4b35a94.js
http://mnp.nkr[.]am/wp-includes/js/jquery/jquery-migrate.min.js
http://aiisa[.]am/js /chatem/js_rA9bo8_O3Pnw_5wJXExNhtkUMdfBYCifTJctEJ8C_Mg.js
adgf[.]am
C&C servers
http://134.209.222[.]206:15363 http://85.222.235[.]156:8000 #樣本 MITRE ATT&CK techniqueshttp://skate/girl-
#C&C servershttp://skate/girl-inc.] /data_from_db_top.php
http://skategirlchina[.]com/wp-includes/ms-locale.php
http://37.59.60[.]199/2018/. config/adobe
###### ############################################################################################################################################
以上是Turla如何利用水坑攻擊植入後門的詳細內容。更多資訊請關注PHP中文網其他相關文章!