ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”，旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说，Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起，试图欺骗目标用户安装恶意软件，以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现，该组织并未局限于以往的攻击工具 ，而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起，而且进一步融合更多可行方式，以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来，攻击者基本上能够利用 Adobe 诱使用户下载恶意软件，并且使用户相信其下载的软件是来自 Adobe 官方网站（adobe.com）的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征，其中包括该组织创建的后门程序 “ 蚊子”（Mosquito），以及之前与该组织关联使用的IP地址。 除了上述相关特征之外，新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设（如下图所示），是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为：① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁，其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证，ESET 研究人员考虑的可能的攻击媒介是： — 受害者组织网络内的一台机器可能被劫持，以便它可以作为本地中间人（MitM）攻击的跳板，这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关，使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商（ ISP ）的层面上 。 — 攻击者可能使用边界网关协议（BGP）劫持来将流量重新路由到 Turla 控制的服务器，虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序，前面所使用的几个后门则可能被丢弃，如后门 Mosquito ，它是一个 Win32 恶意软件，通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信，或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后，这个阶段将被设定为任务的主要目标——过滤敏感数据，包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分，伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中，要么从 Google Drive 网址下载。为了在系统上建立持久性，恶意安装程序还会篡改操作系统的注册表，创建一个允许远程访问的管理帐户。 目前，ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本，不过其代码分析更加困难。 相关阅读： <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源：welivesecurity，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 8 月 30 日报道，网络安全公司 ESET 研究人员近期发现了一项针对全球各领事馆部委与大使馆的新型后门恶意软件 Gazer 监控，疑似与俄罗斯 APT 组织 Turla 有关。 Turla 是俄罗斯网络间谍组织之一，又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态，其主要针对欧洲外交部等政府机构与军工企业展开攻击活动。历史上的典型受害目标有瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 此次调查显示，恶意软件 Gazer 由开发人员采用 C ++ 程序编写，经鱼叉式钓鱼攻击进行传播，可由攻击者通过 C＆C 服务器远程接收加密指令，并可使用受损合法网站（ 多数使用 WordPress ）作为代理规避安全软件检测。研究人员表示，该后门的使用最早可追溯至 2016 年，且整体组件与 Turla 开发的 Carbon 与 Kazuar 后门存在相似之处。此外，Gazer 后门还使用代码注入技术控制受损设备并长期隐藏自身，以便窃取用户更多敏感信息。 恶意软件使用的 “ Solid Loop Ltd ” 有效证书 目前，研究人员已证实 Gazer 后门恶意软件存在四种不同变种，欧洲地区政府机构受影响情况最为严重。有趣的是，不仅早期版本的 Gazer 签发了 Comodo 颁发的 “ Solid Loop Ltd ” 有效证书，而最新版本也签发了 “ Ultimate Computer Support Ltd. ” 颁发的 SSL 证书。对此，研究人员建议系统管理员启用全方位检测与预防系统，禁用过时的协议与端口、主动监控网络流量与部署安全机制。 相关链接： ○ ESET 研究报告《Gazing at Gazer : Turla’s new second stage backdoor》 ○ 卡巴斯基有关 Gazer 后门的细节报告 历史资讯： ○ 俄间谍组织 Turla 持续开发 Carbon 后门新变种 ○ 俄网络间谍组织 Turla 使用新 JavaScript 恶意软件针对欧洲外交部 原作者：Danny Palmer，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

世界知名安全软件公司 ESET 于 3 月 30 日发布报告称，俄罗斯间谍组织 Turla 致力于开发各类恶意软件，其中主要包括最新发布的多个 Carbon 后门新变种。 Turla 是俄罗斯网络间谍组织之一，又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态，主要针对欧洲的外交部等政府机构和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 ESET 的研究人员表示，间谍组织 Turla 具有一个特征：一旦常用的恶意软件被揭露，他们将立即改用新变种以便继续执行间谍活动。因此，市面上出现的恶意软件新变种的互斥体与文件名存在不同也不足为奇。Turla 间谍组织通常会在部署恶意软件 Carbon 后门之前，首先对目标系统进行侦察工作。 研究人员称，一个“ 经典 ”的 Carbon 后门攻击链是从目标用户收到钓鱼邮件或访问受感染网站（通常是用户定期访问的网站）开始。一旦入侵成功，用户设备将在第一阶段安装恶意软件后门，如 Tavdig 或 Skipper。倘若侦查阶段得以完成，Carbon 后门将会成功安装在用户关键系统中。 据悉，恶意软件 Carbon 是间谍组织 Turla 最为复杂的后门程序，用于窃取目标用户的敏感信息，但也与 Turla 开发的其他恶意软件 Rootkit Uroburos 有部分相似之处。 原作者：Gabriela Vatu， 译者：青楚      本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接