目標網站
turla至少破壞了四個armenian網站,其中包括兩個政府網站。 因此,目標可能包括政府官員和政客。以下網站遭到入侵:
armconsul [.] ru:俄羅斯亞美尼亞大使館領事處mnp.nkr [.] am:Artsakh共和國自然保護和自然資源部aiisa [.] am:亞美尼亞國際和安全事務研究所adgf [.] am:亞美尼亞存款擔保基金
這些網站至少從2019年初就遭到了入侵。Turla利用非法訪問向網站中插入惡意JavaScript代碼。 例如,對于mnp.nkr [.] am,在jquery-migrate.min.js(常見的JavaScript庫)的末尾附加了混淆的代碼,如圖1所示:
改代碼會從’skategirlchina[.]com/wp-includes/data_from_db_top.php.’下載額外的JavaScript腳本。從2019年11月開始發現該網站不再傳播惡意腳本,Turla組織似乎是暫停了他們的活動。
用戶指紋與傳播鏈
訪問受感染的網頁后,skategirlchina [.]com會植入第二階段的惡意JavaScript,并為訪問者的瀏覽器添加指紋。圖2顯示了此腳本的主要功能。
如果這是用戶瀏覽器第一次執行該腳本,它將添加一個evercookie,該cookie具有由服務器提供的隨機MD5值,該值在每次執行腳本時都不同。 evercookie是基于GitHub代碼實現的。它使用多個存儲位置(例如本地數據庫,Flash cookie,Silverlight存儲等)來存儲cookie值。與常規Cookie相比,它的持久性更高,如果用戶只是刪除瀏覽器的Cookie,它不會被刪除。
該evercookie將用于識別用戶是否再次訪問了受感染的網站。當用戶第二次訪問時,先前存儲的MD5值可以用來識別第二次訪問行為。
它會收集瀏覽器插件列表,屏幕分辨率和各種操作系統信息,由POST發送到C&C服務器。如果有答復,則認為它是JavaScript代碼,并使用eval函數執行。
如果攻擊者對感染目標感興趣,服務器會用一段JavaScript代碼進行答復。此活動中Turla只對非常有限的訪問網站目標感興趣。之后會向用戶顯示假的Adobe Flash更新警告,如圖3所示,目的是誘使他們下載惡意的Flash安裝程序。
沒有觀察到任何瀏覽器漏洞的利用技術,活動中僅依靠社會工程技巧。如果用戶手動啟動了該可執行文件,則會安裝Turla惡意軟件和合法的Adobe Flash程序。圖4是從最初訪問受感染的亞美尼亞網站后惡意負載的傳遞過程。
惡意軟件
一旦用戶執行了偽造的安裝程序,它將同時執行Turla惡意軟件和合法的Adobe Flash安裝程序。 因此,用戶可能認為更新警告是合法的。
Skipper
在2019年8月前,受害人將收到一個RAR-SFX,其中包含一個合法的Adobe Flash v14安裝程序和另一個RAR-SFX。 后者包含后門的各種組件。 最新版本是由Telsy在2019年5月記錄。
Skipper通訊模塊使用的遠程JavaScript和惡意文件服務器為C&C服務器,Skategirlchina [.com / wp-includes / ms-locale.php。
NetFlash and PyFlash
8月末發現了新的惡意負載,新的惡意負載是一個.NET程序,它在%TEMP% adobe.exe中刪除了Adobe Flash v32的安裝程序,在%TEMP% winhost.exe中刪除了NetFlash(.NET下載程序)。根據編譯時間戳記,惡意樣本是在2019年8月底和2019年9月初編譯的。
NetFlash負責從硬編碼URL下載其第二階段惡意軟件,并使用Windows計劃任務建立持久性。 圖5顯示了NetFlash功能,下載名為PyFlash的第二階段惡意軟件。還發現另一個NetFlash樣本,該樣本在2019年8月底編譯,具有不同的硬編碼C&C服務器:134.209.222 [.] 206:15363。
第二階段后門是py2exe可執行文件。 py2exe是一個Python擴展,用于將Python腳本轉換為Windows可執行文件。 這是Turla開發人員第一次在后門使用Python語言。
后門通過HTTP與硬編碼的C&C服務器通信。 在腳本的開頭指定了C&C URL以及用于加密網絡通信的其他參數(例如AES密鑰和IV),如圖6所示。
該腳本的主要功能(如圖7所示)將機器信息發送到C&C服務器,還包括與OS相關的命令(systeminfo,tasklist)和與網絡相關的命令(ipconfig,getmac,arp)的輸出結果。
C&C服務器還可以以JSON格式發送后門命令。命令有:
1、從給定的HTTP(S)鏈接下載其他文件。
2、使用Python函數subprocess32.Popen執行Windows命令。
3、修改Windows任務,定期(每X分鐘;默認為5分鐘)啟動惡意軟件。
4、殺死(卸載)惡意軟件。 為了確認此指令,惡意軟件使用以下字符串將POST請求發送到C&C服務器:
總結
Turla仍將水坑攻擊作為其初始入侵目標的策略之一。 此活動依社交工程學技巧,利用虛假的Adobe Flash更新警告來誘使用戶下載并安裝惡意軟件。另一方面,有效載荷發生了變化,可能是為了逃避檢測,惡意負載為NetFlash,并安裝名為PyFlash的后門,該后門是使用Python語言開發的。
IoCs
website
http://www.armconsul[.]ru/user/themes/ayeps/dist/js/bundle.0eb0f2cb2808b4b35a94.js
http://mnp.nkr[.]am/wp-includes/js/jquery/jquery-migrate.min.js
http://aiisa[.]am/js/chatem/js_rA9bo8_O3Pnw_5wJXExNhtkUMdfBYCifTJctEJ8C_Mg.js
adgf[.]am
C&C servers
http://skategirlchina[.]com/wp-includes/data_from_db_top.php
http://skategirlchina[.]com/wp-includes/ms-locale.php
http://37.59.60[.]199/2018/.config/adobe
http://134.209.222[.]206:15363
http://85.222.235[.]156:8000
樣本
MITRE ATT&CK techniques
??
