【CTI】网络威胁情报培训案例学习之史诗图拉

admin 2024年5月14日22:34:38评论4 views字数 802阅读2分40秒阅读模式
史诗图拉Epic Turla
特殊C2通信的典型案例
【CTI】网络威胁情报培训案例学习之史诗图拉
简介

Turla,也称为 Snake 或 Uroburos,是目前最复杂的网络间谍活动之一。卡巴斯基实验室对此操作的最新研究表明,Epic 是 Turla在边界突破阶段向受害者投递的初始恶意载荷。据目前掌握的数据,Epic的受害者包括:政府机构(内政部、贸易和商务部、外交/外交部、情报机构)、大使馆、军队、研究和教育组织以及制药公司。

特殊的C2通信线路

这里提到Turla攻击组织,是因为他们恶意软件独特的C2通信行为。在恶意软件上线后,它们不会回连到一个C2服务器,因为C2服务器存在被反制的风险。与之相对的,Turla攻击组织投递的恶意软件会将C2通信数据发送到卫星网络信道中,通过劫持卫星网络用户信道,将明文传输的数据回传给真实的C2服务器,

【CTI】网络威胁情报培训案例学习之史诗图拉

本质上,这是很对卫星通信的中间人攻击,以上图片来自卡巴斯基实验室优秀的分析报告。攻击者用于接收C2数据的卫星终端服务器分布在中东和非洲地区,这可能是因为这些系统易于获取,而且对于欧美调查人员来说更难取证调查。如上图所示,合法用户同样会收到失陷主机回传的C2数据,但他们收到会会直接丢弃。

【CTI】网络威胁情报培训案例学习之史诗图拉
【CTI】网络威胁情报培训案例学习之史诗图拉
参考链接

https://usa.kaspersky.com/resource-center/threats/epic-turla-snake-malware-attacks

https://paper.seebug.org/papers/APT/APT_CyberCriminal_Campagin/2014/GData_Uroburos_RedPaper_EN_v1.pdf

https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/

原文始发于微信公众号(Desync InfoSec):【CTI】网络威胁情报培训案例学习之史诗图拉

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月14日22:34:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【CTI】网络威胁情报培训案例学习之史诗图拉https://cn-sec.com/archives/2064713.html

发表评论

匿名网友 填写信息