Turla（又名Pensive Ursa、Uroburos、Snake）是一个至少从2004年开始运行，总部位于俄罗斯的一个攻击组织。该组织与俄罗斯联邦安全局（FSB）有一定联系。接下来，我们将在这篇文章中介绍Pensive Ursa工具库中最近活跃的10种恶意软件：Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

MITRE ATT&CK称Turla是以其有针对性的攻击和隐身而闻名，多年来，Pensive Ursa已经成为一个先进而难以被发现的恶意软件。

正如MITRE所描述的那样，Pensive Ursa已对至少45个国家发起过攻击，包括政府实体、大使馆和军事组织，以及教育、研究和制药公司。此外，该组织还参与了2022年2月开始的俄乌冲突。据乌克兰CERT称，Pensive Ursa利用间谍攻击乌克兰目标，特别是针对其国防部门。

虽然Pensive Ursa主要利用他们的间谍工具瞄准Windows设备，但也会攻击macOS和Linux设备。

以下是该团队工具库中最活跃的10种恶意软件。对于每种类型的恶意软件，我们都提供了简短的描述和分析，以及Cortex XDR如何检测和阻止攻击。

恶意软件类型：后门；

首次发现时间：2022年；

Capibar（又名DeliveryCheck，GAMEDAY）是Pensive Ursa后门，于2022年首次被观察到，主要用于对乌克兰国防军进行间谍活动，通过电子邮件将其作为带有恶意宏的文档传播。

Capibar通过下载并在内存中启动负载的计划任务而·持续存在。攻击组织将Capibar作为托管对象格式（MOF）文件安装在受攻击的MS Exchange服务器上，使攻击者能够完全控制服务器。

下图显示了负责加载从其命令和控制（C2）接收的XML的代码片段，图2显示了触发的警报：

Capibar代码段加载从其C2接收的XML

Cortex XDR触发了警报

首次发现时间：2017年

Kazuar是.NET后门，于2017年被首次发现。Kazuar提供对其操作人员所针对的受感染系统的全面访问权限，Kazuar附带了一个强大的命令集，包括远程加载额外插件，以增强后门功能的能力。

2021年，研究人员发现，Kazuar和俄罗斯攻击组织在 SolarWinds 行动中使用的SUNBURST后门之间存在有趣的代码重叠和相似之处。2023年7月，乌克兰CERT破获了一次间谍行动，Pensive Ursa则是将Kazuar作为主要后门之一。

下图显示了Cortex XDR阻止将Kazuar DLL注入explorer.exe进程，下图显示为防止Kazuar而触发的警报：

Kazuar被注入explorer.exe并被Cortex XDR阻止

Cortex XDR的Kazuar执行阻止警报

首次被发现时间：2003年；

正如CISA在2023年5月描述的那样，臭名昭著的Snake恶意软件是Pensive Ursa工具集中最复杂的工具。该工具的主要目的是实现相当长一段时间的持久性，并从专用目标中盗取数据。自2003年以来，它已经发展了20年。

Snake在全球50多个国家被发现，美国司法部发表声明，宣布了MEDUSA行动。在该行动中，他们查获了Snake恶意软件活动和P2P网络。他们使用了联邦调查局开发的一种名为PERSEUS的工具，将其用作Snake恶意软件的阻止攻击。

基于先前的分析，Snake恶意软件实现了可维护的代码设计，这表明其开发者具有较高的软件开发功能。

Snake实现了以下功能：

基于HTTP和TCP的通信协议的自定义实现；

用于隐身的内核模块；

按键记录仪功能；

Snake最近的变种包括一个类似于下面描述的感染链。

Snake loader的资源

然后，PNG释放器解码并加载一个易受攻击的VM驱动程序，该驱动程序用于权限提升，以便将主Snake负载写入磁盘，并将其注册为服务。下图所示的Snake加载程序变体检测感染链中的多个阶段，这些阶段导致部署、服务注册和执行Snake主负载。

下图显示了Cortex XDR中弹出的执行阻止警报：

检测模式下Cortex XDR中显示的Snake执行检测

Cortex XDR中显示的Snake执行阻止警报

恶意软件类型：后门；

首次发现时间：2017；

自2019年以来，人们一直在使用QUIETCANRY观察Pensive Ursa，Tomiris组织甚至更早地使用了这个后门。

Pensive Ursa于2022年9月便针对乌克兰的目标部署了QUIETCANARY，以及Kopiluwak恶意软件。

QUIETCANRY是一个用.NET编写的轻量级后门，能够执行从其C2服务器接收的各种命令，包括下载额外的有效负载和执行任意命令。它还实现了RC4加密，以保护其C2通信。

下图显示了QUIETCANRY后门功能的不同类，展示了QUIETCANRY触发的基于Cortex XDR多层保护的警报：

QUIETCANRY代码中不同类的代码段

下图显示了执行阻止警报：

在Cortex XDR中显示了QUIETCANRY的警报

Cortex XDR中显示的QUIETCANARY/Tunnus执行阻止警报

首次发现时间：2016年；

Kopiluwak恶意软件于2016年底被首次发现，它是由各种类型的滴管作为多层JavaScript而进行有效负载传播的。

Pensive Ursa在2017年的一次G20主题攻势中使用MSIL滴管释放了Kopiluak恶意软件，并在2022年末作为SFX可执行文件释放。

Kopiluwak的JavaScript文件如下图所示，下面是C:WindowsTemp path下的代码片段。其目的是收集有关受攻击计算机的有价值的初始分析信息，例如：

在目标位置列出文件；

检索当前运行的进程；

显示活动的网络连接；

攻击者通过运行systeminfo、tasklist、net、ipconfig和dir等侦察命令来完成此活动，结果保存在名为result2.dat的文件中。

在检测模式下，在Cortex XDR中显示Kopiluwak执行检测

下图列出了由Kopiluwak执行，并由Cortex XDR检测到的侦察命令：

Kopiluwak的侦察命令

下图显示了Cortex XDR为Kopiluwak发出执行阻止警报：

Cortex XDR中显示的Kopiluak执行阻止警报

2019年，Pensive Ursa开始使用Topinambour滴管递送Kopiluak。该组织将Topinambour捆绑到一个合法的软件安装程序中。

安装后，Topinambour作为一个小的.NET文件被放到%localappdata%文件夹中，并作为一个计划任务写入。然后，该恶意软件与其硬编码的C2虚拟专用服务器（VPS）通信，以传递Kopiluwak恶意软件。

Cortex XDR在检测模式下显示Topinambour执行检测

下图显示了Cortex XDR弹出的阻止警报：

Cortex XDR中显示的Topinambour执行阻止警报

首次发现时间：2015年；

2020年12月，ESET研究人员发现了Crutch后门。根据Pensive Ursa的战术、技术和程序（TTP），攻击者利用后门攻击了欧洲的几个目标，包括一个欧盟成员国的外交部。

这个后门的主要目的是窃取敏感文件，并将数据泄露到Pensive Ursa运营商控制的Dropbox帐户。使用Dropbox等商业服务进行C2通信是一种已知的（但有效的）技术，因为它是一种合法的服务，并与其他网络通信相融合。

由于代码和TTP与Pensive Ursa的另一个名为Gazer的后门有很大的相似性，Crutch被认为是第二阶段的后门，其持久性是通过DLL劫持实现的。

下图显示了Cortex XDR中Crutch的检测和阻止：

ComRAT

别名：Agent.btz；

恶意软件类型：后门；

首次出现时间：2007年

PowerShell滴管在检测模式下将ComRAT释放到Cortex XDR中显示的磁盘

ComRAT是Pensive Ursa最古老的后门之一，他们在恶意软件的早期迭代中将其命名为Agent.btz。

据报道，ComRAT于2007年首次被发现。从那时起，它进行了多次升级，截至2020年，ComRAT已经迭代了4版。此攻击是在C++中开发的，攻击者已使用PowerShell植入（如PowerStalion）进行部署。

下图显示了PowerShell滴管机制。攻击者在使用ComRAT时的主要目的是从高价值目标那里窃取和泄露机密文件：

Cortex XDR中显示ComRAT PowerShell滴管执行阻止警报

下图描述了Cortex XDR中的PowerShell和DLL执行阻止：

Cortex XDR中显示的ComRAT DLL执行阻止警报

首次发现时间：2014年

Carbon是一个模块化后门框架，Pensive Ursa已经使用了几年。Carbon框架包括一个安装程序、一个协调器组件、一个通信模块和一个配置文件。

Carbon还具有P2P通信功能，攻击者使用该功能向受网络上影响的其他受感染设备发送命令。Carbon通过使用Pastebin等合法网络服务提供商接收C2的命令。

下图显示了Carbon在Cortex XDR中的执行检测和阻止：

Carbon创建了一个加载附加组件的服务，该服务在检测模式下显示在Cortex XDR中

Cortex XDR中显示的Carbon执行阻止警报

首次亮相：2018年；

HyperStack（又名SilentMo，BigBoss）是一个RPC后门，于2018年首次被发现，攻击者在针对欧洲政府实体的行动中使用了它。HyperStack使用一个控制器进行操作，该控制器使用命名管道通过RPC与受HyperStack感染的受攻击环境中的其他计算机进行通信。此通信方法使攻击者能够控制本地网络上的计算机。

HyperStack显示了与Pensive Ursa的Carbon后门的几个相似之处，如加密方案、配置文件格式和日志记录约定。

下图显示了HyperStack在Cortex XDR中的检测和阻止：

HyperStack创建了一个用于持久性的服务，在检测模式下显示在Cortex XDR中

Cortex XDR中显示HyperStack执行阻止警报

首次发现时间：2021年；

TinyTurla恶意软件于2021年被Talos首次发现，他们认为这是第二阶段的后门。美国、欧盟和后来的亚洲目标都发现了这种后门。

TinyTurla的主要功能包括：

下载其他有效负载；

向攻击者的C2服务器上传文件；

执行其他进程；

如下图所示，攻击者通过批处理脚本将后门安装为名为WindowsTimeService的服务。批处理脚本还负责将C2服务器的数据写入注册表。一旦后门被执行，它读取这些值将与其C2通信。

它伪装成一个名为w64time.DLL的DLL，位于system32文件夹下。

上面描述的批处理脚本的内容

虽然w32time.dll是一个合法的DLL，而且其他合法的DLL确实有32位和64位的变体，但是合法的w64time.dll并不存在。这种命名惯例旨在进一步分散受害者的注意力，使他们不产生怀疑。

下图显示了Cortex XDR检测批处理脚本、W64Time服务和TinyTurla DLL执行的编写和执行：

Cortex XDR在检测模式下显示TinyTurla阻止

Cortex XDR中显示TinyTurla执行阻止警报

Cortex XDR的Mitre ATT&CK映射

Pensive Ursa相关活动和工具库在Cortex XDR中引发了多个警报，这些警报被映射到表1中引用的MITRE ATT&CK战术和技术。

MITRE ATT&CK战术和技术

我们在本文探索了Pensive Ursa工具库中排名前十的恶意软件，并通过Palo Alto Networks Cortex XDR监测了其执行过程。这表明针对先进攻击使用多层保护模式的重要性。

因为Pensive Ursa APT攻击的受害者可能会造成重大损失，其后果不仅限于财务损失和数据泄露，还包括影响关键基础设施的可能性，这可能会对国家安全和地缘政治产生影响。因此，每个组织，无论其规模或行业如何，都必须优先考虑全面的安全战略，并投资多层安全措施，以防范Pensive Ursa等APT组织日益增长的攻击。

本文针对每种恶意软件都提出了阻止和检测警报：Capibar、Kazua、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

SmartScore是一个独特的机器学习驱动的评分引擎，它将安全调查方法及其相关数据转换为混合评分系统，对一个涉及已知Pensive Ursa工具和技术组合的事件进行了91分的评分，这是一个非常高的风险水平，如下图所示：

SmartScore有关该事件的信息，对于Palo Alto Networks的客户，其提供了与该组织相关的以下覆盖范围：

Cortex XDR通过分析来自多个数据源的用户活动来检测基于用户和凭据的攻击，这些数据源包括：

终端；

网络防火墙；

活动目录；

身份和访问管理解决方案；

云工作负载；

Cortex XDR通过设备学习，建立用户活动随时间变化的档案，通过将新活动与过去的活动、p2p活动和实体的预期行为进行比较。

Cortex XDR检测到表明基于凭据攻击的异常活动，它还提供了以下与本文中讨论的攻击相关的保护措施：

使用基于本地分析模块的行为攻击保护和设备学习，防止执行已知恶意软件，并防止执行未知恶意软件；

使用Cortex XDR 3.4提供的新凭证收集保护，防止使用凭证收集工具和技术；

使用Cortex XDR 3.4中最新发布的Anti-Webshell保护，防止攻击者从web shell中释放和执行命令；

使用反利用模块以及行为攻击保护来防止对不同漏洞的利用，包括ProxyShell和ProxyLogon；

Cortex XDR Pro通过行为分析检测攻击后活动，包括基于凭据的攻击。

参考及来源：https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/