Turla,也称为 Snake 或 Uroburos,是目前最复杂的网络间谍活动之一。卡巴斯基实验室对此操作的最新研究表明,Epic 是 Turla在边界突破阶段向受害者投递的初始恶意载荷。据目前掌握的数据,Epic的受害者包括:政府机构(内政部、贸易和商务部、外交/外交部、情报机构)、大使馆、军队、研究和教育组织以及制药公司。
这里提到Turla攻击组织,是因为他们恶意软件独特的C2通信行为。在恶意软件上线后,它们不会回连到一个C2服务器,因为C2服务器存在被反制的风险。与之相对的,Turla攻击组织投递的恶意软件会将C2通信数据发送到卫星网络信道中,通过劫持卫星网络用户信道,将明文传输的数据回传给真实的C2服务器,
本质上,这是很对卫星通信的中间人攻击,以上图片来自卡巴斯基实验室优秀的分析报告。攻击者用于接收C2数据的卫星终端服务器分布在中东和非洲地区,这可能是因为这些系统易于获取,而且对于欧美调查人员来说更难取证调查。如上图所示,合法用户同样会收到失陷主机回传的C2数据,但他们收到会会直接丢弃。
https://usa.kaspersky.com/resource-center/threats/epic-turla-snake-malware-attacks
https://paper.seebug.org/papers/APT/APT_CyberCriminal_Campagin/2014/GData_Uroburos_RedPaper_EN_v1.pdf
https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/
原文始发于微信公众号(Desync InfoSec):【CTI】网络威胁情报培训案例学习之史诗图拉
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论