>
Research (Insikt)

Den Schwanz der Schlange verschlucken: Verfolgung der Turla-Infrastruktur

insikt-group-logo-aktualisiert-2.png

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

Die Insikt Group ® von Recorded Future hat im Rahmen einer eingehenden Untersuchung der jüngsten Turla-Aktivitäten neue Erkennungsmethoden für die Turla-Malware und -Infrastruktur entwickelt. Zu den Datenquellen gehörten die Recorded Future ® -Plattform, ReversingLabs, VirusTotal, Shodan, BinaryEdge und verschiedene OSINT-Tools. Zur Zielgruppe dieser Untersuchung gehören Sicherheitsexperten, Netzwerkverteidiger und Experten für Bedrohungsinformationen, die sich für die Aktivitäten der Computernetzwerke des russischen Nationalstaats interessieren.

Executive Summary

Turla, auch bekannt als Snake, Waterbug und Venomous Bear, ist eine etablierte, hochentwickelte und strategisch ausgerichtete Cyber-Spionage-Gruppe, die seit über einem Jahrzehnt mit Operationen gegen Forschungs-, diplomatische und militärische Organisationen weltweit in Verbindung gebracht wird. Der Schwerpunkt liegt dabei insbesondere auf Einheiten innerhalb der Nordatlantikvertrags-Organisation (NATO) und der Gemeinschaft Unabhängiger Staaten (GUS).

Während sich viele staatliche Bedrohungsgruppen bei ihren Operationen immer stärker auf Open Source und Standardsoftware verlassen, entwickelt Turla weiterhin seine eigene einzigartige, fortschrittliche Schadsoftware und Tools und wendet dabei neue Angriffs- und Verschleierungsmethoden an. Es verwendet diese TTPs neben älteren Techniken und allgemeinen Open-Source-Tools. Aus diesen Gründen geht die Insikt Group davon aus, dass die Turla Group auch in den kommenden Jahren eine aktive, fortschrittliche Bedrohung bleiben wird, die weiterhin mit einzigartigen Betriebskonzepten überraschen wird.

Die konsistenten Muster der Gruppe und die Verwendung stabiler und regelmäßig aktualisierter Versionen einzigartiger Malware für langwierige Kampagnen können es den Verteidigern jedoch ermöglichen, die Infrastruktur und Aktivitäten von Turla proaktiv zu verfolgen und zu identifizieren. Diese Untersuchung untersucht die Betriebshistorie von Turla und stellt unsere Methodik zur Identifizierung der aktuell von Turla verwendeten Infrastruktur dar, wobei der Schwerpunkt auf mehreren mit Turla verbundenen Malware-Typen liegt. Details zu zwei davon – der zusammengesetzten Mosquito-Hintertür und der entführten iranischen TwoFace ASPX-Web-Shell – werden in diesem Bericht bereitgestellt.

Recorded Future hat unseren Kunden einen detaillierten Bericht mit weiteren Untersuchungen und Erkennungen zusätzlicher Turla-bezogener Malware-Familien bereitgestellt, der auf der Recorded Future-Plattform verfügbar ist.

Wichtige Urteile

  • Die Turla Group kann anhand einzigartiger Merkmale ihrer Schadsoftware und C2-Kommunikation verfolgt werden. Darüber hinaus ermöglicht Turla durch die Verwendung von Open-Source-Tools zur Vermeidung von Erkennung und verwirrenden Zuordnungsversuchen Forschern eine schnelle Analyse und Erstellung von Erkennungen, da der Quellcode für Analysen und Tests sofort verfügbar ist.

  • Im Juni 2019 wurde festgestellt, dass die Turla Group in die Computernetzwerk-Betriebsinfrastruktur der iranischen Bedrohungsgruppe APT34 eingedrungen war. Dies kam praktisch einer Übernahme des Computernetzwerkbetriebs einer nationalstaatlichen Gruppe durch staatliche Akteure aus einem anderen Land gleich – ein beispielloses Vorgehen. Nach Einschätzung der Insikt Group war die Nutzung der APT34-Infrastruktur durch die Turla Group in erster Linie opportunistischer Natur und erfolgte nicht koordiniert zwischen iranischen und russischen Organisationen.

  • Recorded Future geht mit hoher Wahrscheinlichkeit davon aus, dass es sich bei TwoFace um die iranische APT34-ASPX-Shell handelt, die Turla gesucht hat, um auf zusätzliche Hosts zuzugreifen, wie im NSA/NCSC-Bericht dokumentiert. Wir gehen davon aus, dass alle aktiven TwoFace-Shells ab Ende Januar 2020 auch potenzielle Betriebsmittel der Turla-Gruppe sein könnten.

  • Im Jahr 2019 begann Turla, bei der Installation von Malware in großem Umfang auf PowerShell-Skripte zurückzugreifen. Zuvor hatte es der Schädling auch stark auf Sicherheitslücken bei Microsoft und auf E-Mail-Server abgesehen. Turla verwendet außerdem häufig kompromittierte WordPress-Websites als Grundlage seiner C2-Infrastruktur.

  • Unter der von uns untersuchten Schadsoftware verwendet Turla hauptsächlich HTTP/S für die Command-and-Control-Kommunikation (C2).

Hintergrund

Turla wird bereits für Operationen gegen das Pentagon ab 2008 verantwortlich gemacht und hat bis heute gezielt NATO-Staaten im Visier. Zu den Hauptzielen von Turla zählen Verlage und Medienunternehmen, Universitäten/Akademien und Regierungsorganisationen, wobei die Schadsoftware oft speziell auf wissenschaftliche Forschung und Energieforschung, diplomatische Angelegenheiten in abgelegenen und lokalen Gebieten sowie auf militärische Daten abzielt. Turla zielt aktiv auf europäische und GUS-Staaten ab, wobei der Schwerpunkt traditionell auf Außen- und Verteidigungsministerien sowie vergleichbaren Regierungsorganisationen und angeschlossenen Forschungseinrichtungen liegt.

Turla ist für den Einsatz von Watering-Hole-Angriffen (Kompromittion von Websites, um Besucher ins Visier zu nehmen) und Spear-Phishing-Kampagnen bekannt, um gezielt bestimmte Entitäten von Interesse anzugreifen. Turla hat außerdem innovative, unkonventionelle Techniken eingesetzt, darunter die Nutzung von Satelliten zur Datenexfiltration aus entlegenen Gebieten in Nordafrika und dem Nahen Osten. Die Gruppe ist für die Verwendung sowohl unveränderter als auch angepasster Versionen von Open-Source-Software wie Meterpreter und Mimikatz sowie maßgeschneiderter Schadsoftware wie Gazer, IcedCoffee, Carbon und Mosquito bekannt.

Darüber hinaus haben die Turla-Betreiber zur Verfolgung ihrer Zwecke auch die Infrastruktur Dritter übernommen oder falsche Flaggen verwendet. In vielen Fällen hat diese Gruppe kompromittierte Websites (normalerweise WordPress-Sites) sowohl als Infektionsvektor als auch als operative Infrastruktur für C2-Kommunikation verwendet.

Im Juni 2019 wurde Turla von Forschern bei Symantec als jemand identifiziert, der in die Computernetzwerk-Betriebsinfrastruktur der iranischen Bedrohungsgruppe APT34 eingedrungen war, iranische Betriebsinformationen sammelte und exfiltrierte und sich gleichzeitig Zugang zu aktiven Opfern der Iraner verschaffte.

Turlas Übernahme der iranischen APT34-Operationen bestand unter anderem darin, deren Webshells zu scannen und zu entdecken. Dazu nutzten die Angreifer bestehende Netzwerke von APT34-Opfern, um IP-Adressen in mindestens 35 verschiedenen Ländern nach einer bestimmten Webshell zu durchsuchen. Nach der Identifizierung nutzte Turla diese Shells, um zunächst bei den Opfern von Interesse Fuß zu fassen und setzte dann weitere Tools ein.

TwoFace wurde erstmals im Jahr 2015 entdeckt und ist die primäre APT34-Web-Shell. Recorded Future geht mit hoher Wahrscheinlichkeit davon aus, dass es sich bei TwoFace um die Shell handelt, nach der Turla gesucht hat, um auf zusätzliche Hosts zuzugreifen. Wir gehen davon aus, dass alle aktiven TwoFace-Shells ab Ende Januar 2020 auch potenzielle Betriebsmittel der Turla-Gruppe sein könnten.

Turla hat außerdem von der eigenen Infrastruktur aus direkt auf die C2-Panels des APT34-Poison-Frog-Tools zugegriffen und diesen Zugriff genutzt, um Opfer zum Herunterladen von Turla-Tools aufzufordern.

Bedrohungsanalyse

Die Übernahme iranischer Computernetzwerk-Ressourcen durch die Turla Group ist unter den bekannten Bedrohungsakteuren bislang einzigartig; diese Aktion kam praktisch der Übernahme der Computernetzwerk-Operationen einer staatlichen Gruppe durch staatliche Akteure eines anderen Landes gleich.

Obwohl es möglich ist, dass die iranischen und russischen Organisationen in irgendeiner Form zusammengearbeitet haben, stützen die der Insikt Group vorliegenden Beweise diese Theorie nicht. Obwohl Turla beispielsweise über umfassende Einblicke in die Tools und Operationen von APT34 verfügte, musste das Unternehmen nach iranischen Webshells suchen, um herauszufinden, wo diese Tools eingesetzt wurden. Wir gehen davon aus, dass Turlas Einmischung in die iranischen Operationen wahrscheinlich ein unkoordinierter und daher feindseliger Akt war.

Während die Insikt Group zu dem Schluss kommt, dass die Nutzung der APT34-Infrastruktur durch die Turla Group in erster Linie opportunistischer Natur war, bestand ein zusätzlicher Vorteil für die Betreiber wahrscheinlich darin, dass sie die Einsatzkräfte täuschen konnten, die die Tools möglicherweise als iranischen Ursprungs identifizierten. Turla hat vor der Verwendung iranischer Tools bereits Schadsoftware anderer Bedrohungsakteure wiederverwendet. So kam es beispielsweise 2012 auch zum Einsatz der chinesischen Schadsoftware Quarian . In diesem Fall kamen die Forscher von Kaspersky zu dem Schluss, dass Turla-Akteure die Quarian-Malware heruntergeladen und anschließend deinstalliert hatten, um die Einsatzkräfte nach der Entdeckung abzulenken und zu täuschen.

Außerhalb seines mutigen iranischen Vorhabens hat Turla parallel auch andere Betriebs- und Entwicklungsaktivitäten durchgeführt. Im Jahr 2019 begann Turla in großem Umfang PowerShell-Skripte zu verwenden, wahrscheinlich um die Entdeckung schädlicher Dateien auf der Festplatte zu verhindern. Im Laufe des Jahres haben sie ihren Einsatz von PowerShell-Skripten gesteigert, verwenden PowerSploit und PowerShell Empire und haben außerdem ihre eigene Powershell-Hintertür namens PowerStallion entwickelt.

Turla zielt zwar am häufigsten auf Microsoft Windows-Betriebssysteme ab, der Schädling nutzt jedoch auch gezielt E-Mail-Server aus. Die LightNeuron-Hintertür ist speziell für den Einsatz auf Microsoft Exchange-Mailservern konzipiert, und die Outlook-Hintertür ist für den Einsatz auf den E-Mailservern Exchange und The Bat! (beliebt in Osteuropa) konzipiert. Durch die Kompromittierung von Mailservern erhält Turla die Kontrolle über den E-Mail-Verkehr in einem Zielnetzwerk und kann E-Mails nicht nur überwachen, sondern auch erstellen, senden und sogar blockieren.

Turla verlässt sich auf kompromittierte WordPress-Sites als C2s. Darüber hinaus verwenden sie seit 2014 und möglicherweise schon früher regelmäßig WordPress-fokussierte URL-Namen für die Nutzlastübermittlung . Diese Tendenz ermöglicht die Profilerstellung ihrer C2s und Payload-URLs, um neue Turla-Infrastrukturen zu entdecken.

Turla-Operationen wurden mit einer Vielzahl maßgeschneiderter Schadsoftware in Verbindung gebracht. Die Insikt Group hat mehrere dieser Malware-Typen einer eingehenderen Analyse unterzogen, um Scan-Regeln zum Erkennen von Live-Infrastrukturen im Zusammenhang mit Turla zu erstellen, die von Dezember 2019 bis Januar 2020 aktiv waren.

Erweiterte Erkennungsanalyse von Turla

Der Schwerpunkt unserer Analyse lag auf der Entwicklung von Identifikationsmethoden für Turla, wobei wir uns auf mehrere mit Turla verbundene Malware-Typen konzentrierten. Einzelheiten zu unserer Analyse der zusammengesetzten Mosquito-Hintertür und der entführten iranischen TwoFace-Web-Shell finden Sie in diesem Bericht.

Erkennung von Mücken

Im Januar 2018 berichtete ESET über eine neuere Hintertür namens Mosquito, die sie bei einer Einbruchsanalyse bei Turla beobachtet hatten. Die Lieferung und Installation von Mosquito umfasste mehrere Komponenten, darunter:

  • Verwendung eines mit einem Trojaner infizierten Adobe-Installationsprogramms

  • Verwendung von Metasploit-Shellcode zum Herunterladen einer legitimen Kopie des Adobe Flash-Installationsprogramms und einer Kopie von Meterpreter, um den Download und die Installation des Mosquito-Installationsprogramms zu ermöglichen

  • Installationsprogramm mit verschlüsselter Nutzlast

  • Launcher, der die primäre Hintertür „Commander“ ausführt

Mosquito ist ein Win32-Remote-Access-Trojaner (RAT). Die Malware umfasst drei Hauptkomponenten: ein Installationsprogramm, ein Launcher und die Backdoor-Komponente, die manchmal CommanderDLL genannt wird. Die Mosquito-Malware wurde abgelegt, nachdem zunächst der Metasploit-Shellcode verwendet und Meterpreter installiert worden war, um die Kontrolle über das Opfer zu erlangen. Es verfügt über die folgenden Funktionen:

  • Download-Datei

  • Prozess erstellen

  • Datei löschen

  • Datei hochladen

  • Ausführen von Shell-Befehlen

  • Ausführen von PowerShell-Befehlen

  • C2-Server hinzufügen

  • C2-Server löschen

Commander ist die Hauptkomponente der Mosquito-Hintertür. Bei dieser Untersuchung konzentrierten wir unsere Analyse hauptsächlich auf die C2-Kommunikation des Commanders. Um Einzelheiten zu den weiteren Aspekten des Mosquito-Pakets zu erfahren, haben Forscher bei ESET eine gründliche Analyse durchgeführt.

Die Analyse der Kommunikation vom Commander zu seinem C2 durch ESET zeigt, dass die Kommunikation zum und vom Controller über HTTP oder HTTPS gesendet wird. Auf der Clientseite können Daten als Parameter in der GET-Anfrage, als Cookie oder als Parameter und Nutzlast eines POST gesendet werden (wie im Bild unten gezeigt). Auf der Controllerseite werden Antworten und Befehle als HTTP-Nutzlast gesendet.

turla-apt-infrastruktur-1-1.png

Beacon von der Mosquito-„Commander“-Hintertür mit verschlüsselten Daten, die im POST-Parameter und in der Nutzlast gesendet werden.

Wie oben gezeigt, werden die Daten nicht im Klartext an den Controller gesendet. Es wird zunächst mit einer Verschlüsselungsroutine geschützt, die mithilfe eines Pseudozufallszahlengenerators von Blum Blum Shub einen Bytestrom erzeugt, der zur XOR-Kodierung der Klartextdaten verwendet wird. Die resultierenden Daten werden dann Base64-codiert.

Zum Verschlüsseln bzw. Entschlüsseln werden vom Verschlüsselungsprozess ein Schlüssel und ein Modul benötigt. Wie ESET berichtete und die Insikt Group bei ihrer Analyse feststellte, ist der Modul „0x7DFDC101“ fest codiert. Der Schlüssel ist nicht fest codiert und wird bei jedem Austausch zwischen Client und Controller zufällig generiert, sodass der Schlüssel für jede Übertragung anders ist. Dieser zufällig generierte Schlüssel wird als Teil der C2-Kommunikation gesendet und kann leicht extrahiert werden. Die Analysten der Insikt Group haben diese Implementierung des Pseudozufallszahlengenerators umgekehrt und ein Decoderskript in Python erstellt, das in unserem GitHub-Repository zu finden ist.

Durch eine Spiegelanalyse von ESET hat die Insikt Group herausgefunden, dass den gesendeten Daten Header-Informationen vorangestellt sind. Der Header besteht im entschlüsselten Zustand aus den folgenden Feldern:

Felder Länge Beschreibung
Startschlüssel DWORD Startschlüssel zum Entschlüsseln der Daten
AUSWEIS BYTE Wert, der unterschiedliche Methoden für die C2-Kommunikation angibt. Zu den verfügbaren IDs gehören 0x85 (HTTP Get mit möglichen benutzerdefinierten Headern), 0x87 (HTTP POST-Übertragung), 0x88 (HTTP GET mit Cookie) und 0x89 (HTTP GET).
String-Länge BYTE Länge des Zeichenfolgenfelds
Zeichenfolge Variable 1-4 BYTES Zwei Hex-BYTES, die eine ASCII-Dezimalzahldarstellung darstellen. 0x37,0x32 (HEX) == 72 (Dezimal) == H (ASCI)I
MAC-Adresse QWORD MAC-Adresse des Hosts
NULL DWORD
Datenlänge DWORD Länge des Datensegments innerhalb der URL
Daten (URL) Variable Enthält einen 28-Byte-Header und dann die Daten; die Daten werden auch mit dem fest codierten Schlüssel 0x3EB13 von Blum Blum Shub verschlüsselt; wir haben beobachtet, dass dieses Feld Junk-Werte enthält, wenn Daten als POST gesendet werden
Daten (POST) Variable Als POST gesendete Daten enthalten keinen Header wie die URL-Methode. Wie bei der URL-Methode werden die Daten mit dem fest codierten Schlüssel 0x3EB13 von Blum Blum Shub verschlüsselt.

Entschlüsselte Mosquito Commander-Headerinformationen.

Eine weitere Analyse der Commander-Hintertür zeigt, dass die vom Controller erwartete Antwort ein HTTP/S-Paket ist, in dem die Nutzlast Base64-codiert und dann auf die gleiche Weise wie das C2-Beacon-Paket verschlüsselt ist. Wenn die Antwort erfolgreich dekodiert wurde, wird das erste Byte überprüft, und wenn es 28 ist, werden die verbleibenden Datenbytes analysiert. Wenn das erste Byte gleich 0x27 ist, wird mit der C2-Antwort nichts weiter getan.

turla-apt-infrastruktur-2-1.png

Antwortbehandlungscode von Mosquito Commander C2.

Passive Scans für Kommandanten

Mithilfe von Open-Source-Tools wie urlscan.io sowie proprietären Scan-Methoden der Insikt Group suchen die passiven Scans nach Beweisen dafür, dass kompromittierte Hosts Signale an den Controller zurücksenden. Die Abfragen suchen nach den statischen Aspekten der GET- oder POST-Ressourcenzeichenfolge „/scripts/m/query.php?id=“, wie im folgenden Link gezeigt:

Beispiele für aktuelle Ergebnisse dieser Abfrage mit urlscan.io sind:

  • 204.193.62.62/scripts/m/query.php?id=eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO…

  • 204.193.62.62/scripts/m/query.php?id=eQV0AKBGOorB/sB6ZkIU0e+KQOWiwulq…

  • 77.232.99.77/scripts/m/query.php?id=eQV0AKBGOorB%2FsB6ZkIU0e%2BKQ…

Die obigen URLs stimmen perfekt mit dem typischen Mosquito-URL-Muster überein. Mithilfe unseres oben erwähnten Python-Decoderskripts können wir versuchen, den verschlüsselten Teil der URL „eQV0AKBGOorB%2FsB6ZkIU0e%2BKQO…“ zu dekodieren. Die Ergebnisse unseres Skripts werden unten angezeigt.

turla-apt-infrastruktur-3-1.png

Entschlüsselte urlscan.io Commander-URL-Zeichenfolge.

Nachdem wir das Dekodierungsskript ausgeführt haben, können wir feststellen, dass der Anfang des Headers korrekt dekodiert wurde, da wir die ID, die Zeichenfolgenwerte und die MAC-Adresse des kompromittierten Geräts extrahieren können. Für beide IPs kann der Datenabschnitt nicht dekodiert werden. Dies ist jedoch zu erwarten, wenn man bedenkt, dass die ID 0x87 ist, was darauf hinweist, dass dies ein HTTP POST war und die eigentlichen Daten, die wir dekodieren möchten, sich in der HTTP-Nutzlast und nicht im Parameter befinden. Auf Grundlage dieser Analyse gehen wir mit mittlerer Sicherheit davon aus, dass es sich bei diesen IPs um Mosquito Controller handelt.

TwoFace Web Shell-Erkennung

Die TwoFace-Web-Shell wurde zuerst vom Forschungsteam Palo Alto Unit42 entdeckt und analysiert und später der Gruppe zugeschrieben, die sie als OilRig bezeichnen, die üblicherweise mit APT34 in Verbindung gebracht wird. Wie bereits erwähnt suchte Turla nach der Präsenz der TwoFace ASPX-Web-Shells und versuchte dann, auf Snake oder andere Malware zuzugreifen und diese herunterzuladen. Wir gehen davon aus, dass viele dieser Webshells mittlerweile zu den Betriebsmitteln von Turla gehören und nicht mehr unter der Kontrolle von APT34 stehen.

Die TwoFace-Web-Shell besteht eigentlich aus zwei Shells: einer ersten Loader-Shell und einer zweiten, voll funktionsfähigen Web-Shell, die dem Betreiber viel mehr Kontrolle über die Website gibt. Beide Komponenten wurden in C# geschrieben und für den Betrieb auf Webservern mit ASP.NET-Unterstützung entwickelt, wobei für den Betrieb Active Server Page Extended (ASPX)-Dateien verwendet werden. TwoFace ist ein Remote-Access-Trojaner mit folgenden Funktionen:

  • Programm ausführen

  • Shell-Befehl ausführen

  • Datei hochladen

  • Datei ändern

  • Datei löschen

  • Download-Datei

  • Timestomping (Änderung von Dateizeitstempeln)

Der Zugriff auf die Web-Shell erfolgt über ein Bedienfeld, das dem Bild unten ähnelt. Die Bedrohungsakteure müssten sich dann authentifizieren, um weitere Aktionen auszuführen. Aber auch ohne Authentifizierung ist das Vorhandensein dieser speziellen ASPX-Datei Die Datei ist ausreichender Nachweis für die Anwesenheit der TwoFace-Web-Shell.

turla-apt-infrastruktur-4-1.png

TwoFace-Web-Shell-Panel.

Details zur TwoFace Web Shell-Erkennung

Die Insikt Group hat ein proprietäres Tool zum Scannen von URLs für die TwoFace-Web-Shell erstellt. Die zum Scannen nach der TwoFace-Web-Shell mit dem Tool verwendete Konfiguration finden Sie in der folgenden Tabelle.

Regelname HTTP-Methode Kollektionsfilter HTTP-Header HTTP-Nutzlast Erwartete Controller-Antwort (RegEx)
Turla_TwoFace_Webshell_Detection ERHALTEN .aspx N/A N/A „Funktion use() { var n = document; var d = n.getElementById(“d”).innerHTML; d = d.substring(0, d.lastIndexOf('\\') + 1); n.getElementsByName(“cmd”)[0].Wert += d; n.getElementsByName(“sav”)[0].Wert += d; n.getElementsByName(“don”)[0].Wert += d;}”

Scannerkonfiguration für die TwoFace-Web-Shell.

Diese Konfiguration sammelt zunächst alle URLs aus unserer Quellliste, deren Pfad einen „*.aspx“-Dateinamen enthält. Der Recorded Future-Scanner stellt eine Verbindung zu jeder URL her. Durch die Verbindung ziehen wir den Inhalt der ASPX-Datei Datei, wie im Bild unten gezeigt.

turla-apt-infrastruktur-5-1.png

Automatischer Abruf von ASPX Dateien.

Anschließend durchsuchen wir die Antwort nach bekannten TwoFace-Web-Shell-Zeichenfolgen, um festzustellen, ob die URL zu einer TwoFace-Web-Shell führt. Die Analysten der Insikt Group verwendeten den JavaScript-Ausschnitt im Bild unten als Indikator für die TwoFace-Web-Shell.

turla-apt-infrastruktur-6-1.png

JavaScript-Code, der bei der TwoFace-Web-Shell-Erkennung verwendet wird.

Ausblick

Die Turla Group ist ein hochentwickelter Bedrohungsakteur und obwohl sich viele staatliche Gruppen bei ihren Operationen immer stärker auf Open Source und Standardsoftware verlassen, entwickelt Turla weiterhin seine eigene, einzigartige und hochentwickelte Schadsoftware. Ein Beispiel für eine solche Innovation ist der Reductor RAT, eine neue Art von Schadsoftware für Turla , die erstmals Ende 2019 beobachtet wurde. Die Insikt Group geht davon aus, dass Reductor RAT auch im Jahr 2020 weiterhin zum Einsatz kommt.

Turla nutzt zwar noch immer wirksame ältere Techniken wie virtuelle Dateisysteme mit Gazer und der Outlook-Hintertür, hat jedoch konsequent neuere Methoden übernommen, wie etwa die Änderung der Browser-Pseudonummerngenerierung durch Reductor, und entwickelt kontinuierlich neue Tools, wie etwa die jüngsten .NET- und PowerShell-Hintertüren.

Wie bereits erwähnt bedeutet dies nicht, dass Turla keine generischen Tools verwendet. Turla verwendet regelmäßig Open-Source-Tools, darunter Mimikatz und Metasploit als Bereitstellungsmechanismen für die Mosquito-Hintertür.

Die Turla Group wird von der Insikt Group als gut finanzierte, fortschrittliche nationalstaatliche Gruppe eingestuft, die seit vielen Jahren aktiv ist und ihre Werkzeuge und Praktiken verbessert. Obwohl wir davon ausgehen, dass sich Zielsetzung und Vorgehensweisen mit der Zeit ändern werden, geht die Insikt Group davon aus, dass die Turla Group auch in den kommenden Jahren eine aktive, hochentwickelte Bedrohung bleiben wird, die weiterhin mit einzigartigen operativen Konzepten überraschen wird. Die konsistenten Muster der Gruppe und die Verwendung stabiler und regelmäßig aktualisierter Versionen einzigartiger Malware für langwierige Kampagnen könnten jedoch in Zukunft eine proaktive Verfolgung und Identifizierung ihrer Infrastruktur und Aktivitäten ermöglichen.

Verwandt