卡巴斯基研究人员发现,说俄语的威胁攻击组织Trula已经改进了他们所使用的工具集:将其著名的JavaScript Kopiluwak恶意软件包装在一个名为Topinambour的最新释放器中,并且创建了两个类似的语言版本,并通过受感染的互联网审查软件安装包分发其恶意软件。研究人员认为这些手段是为了最大限度地减小被检测的记录,同时精确针对目标受害者进行攻击。Topinambour于2019年初在针对政府实体攻击行动中被发现。
Turla是一个说俄语的高调威胁组织,其兴趣是对政府和外交相关目标实施网络间谍攻击。它以创新性和标志性的KopiLuwak恶意软件而闻名,最早在2016年底被发现。2019年,卡巴斯基研究人员发现该威胁组织采用了新的工具和手段来增强其隐蔽性,帮助降低被检测到的几率。
Topinambour(根据一种蔬菜命名,也被称为洋姜)是一种Turla使用的最新.NET文件,被用来通过受感染的合法软件安装包(如绕过互联网审查的VPN工具等)分发和释放其JavaScript KopliLuwak。
KopiLuwak专门被设计用来进行间谍攻击,Turla最新的感染过程包括帮助恶意软件躲避检测的技术。例如,命令和控制基础设施的IP地址会模仿普通的局域网地址。不仅如此,这种恶意软件还几乎是完全“无文件的”——感染的最后阶段,一个用于远程管理的加密木马,嵌入到计算机的注册表中,以便在准备好时访问恶意软件。
两个类似于KopiLuwak的木马:.NET RocketMan木马和PowerShell MiamiBeach木马都是为网络间谍而设计的。研究人员认为这些版本的木马是用来部署在那些安装了能够检测出KopiLuwak的安全软件的目标上。安装成功后,这三个版本的木马都能够:
· 采集目标的指纹,了解所感染的是什么类型的计算机
· 收集有关系统和网络适配器的信息
· 窃取文件
· 下载和执行额外的恶意软件
· MiamiBeach还能够截屏
“2019年,Turla再度出现并推出了改进的工具集,引入了许多新功能,其目的可能是最大限度地降低被安全解决方案和研究人员检测到的几率。这些新措施包括减少恶意软件的数字足迹,创建两个不同的但与知名的 KopiLuwak 恶意软件相似的版本。滥用可以绕过互联网审查的VPN软件的安装包表明,攻击者明确定义了这些工具的网络间谍目标。Turla威胁组织的军火库的不断进化,提醒人们需要威胁情报以及能够拦截APT组织使用的最新工具和技术的安全软件。例如,下载完软件的安装包后,使用端点保护解决方案并检查文件的哈希值有助于防止像Topinambour这样的威胁,”卡巴斯基首席安全研究员Kurt Baumgartner说。
为了降低成为复杂的网络间谍攻击行动的受害者,卡巴斯基建议用户采取以下措施:
· 对员工进行安全意识培训,向他们解释如何识别和避免潜在有害的应用程序或文件。例如,员工不要从不受信任或未知来源下载和安装应用和程序。
· 为了实现端点级别的检测、调查和事故及时修复,部署EDR解决方案,例如卡巴斯基端点检测和响应。
· 除了采用基本的端点保护之外,部署企业级安全解决方案,以便在早期阶段检测网络级别的高级威胁,例如卡巴斯基反针对性攻击平台。
· 为您的安全运营中心团队提供对最新威胁情报的访问,让他们可以及时了解威胁组织使用的最新工具、技术和策略。
完整版报告请参阅Securelist.
来源:E科技
免责声明:本文来源于网络,仅代表作者本人观点,与手机之家无关。凡来源非手机之家的新闻(作品)只代表本网传播该消息,并不代表赞同其观点。手机之家对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任