گروه APT Turla که با نامهای Venomous Bear ،Waterbug و Uroboros نیز شناختهمیشود، گروهی است که از روتکیت Snake بهره میبرد.
منبع : مرکز مدیریت راهبردی افتا
گروه APT Turla که با نامهای Venomous Bear ،Waterbug و Uroboros نیز شناختهمیشود، گروهی است که از روتکیت Snake بهره میبرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران کسپرسکی فعالیتها و بدافزارهای گروه APT Turla را بررسی کردهاند. آنها ۶ مجموعه مختلف از فعالیتهای مخرب Turla را در دو سال گذشته شناسایی کردهاند. هریک از این مجموعهها مرتبط با عملیات یا بدافزاری هستند که کشورهای مختلف را هدف قرار دادهاند. حوزههای مورد هدف مهاجمان رسانههای بینالمللی، نهادهای دولتی آکادمیک و پژوهشهای انرژی، امور خارجه، نهادهای امنیتی و نظامی و دانشگاهها هستند. برخی از بدافزارهای استفاده شده توسط این گروه بهصورت زیر است:
بدافزار IcedCoffee این بدافزار از طریق فایلهای RTF و اسناد آفیس دارای کدهای ماکرو منتقل میشود. IcedCoffee از WMI استفاده میکند تا اطلاعات مختلفی را از سیستم و کاربر جمعآوری کند و سپس آن را با base64 کدگذاری میکند و با RC4 رمزگذاری میشود. در ادامه از طریق HTTP POST به سرور کنترل و فرمان C&C ارسال میشوند.
در این بدافزار هیچ دستوری تعبیه نشدهاست و با دریافت فایلهای مبهمسازینشده جاوااسکریپت از سرور C&C دستورات دریافت و در حافظه اجرا میشوند. بدینصورت اثری در دیسک برای انجام فرایندهای جرمشناسی باقی نمیگذارد. این بدافزار بهطور گسترده توزیع نشده، اما دیپلماتها را هدف قرار دادهاست.
بدافزار KopiLowak این بدافزار نیز مشابه IcedCoffee است و اطلاعات جامعتری را از سیستم و شبکه قربانی جمعآوری میکند و مشابه IcedCoffee اثر کمی از خود برجای میگذارد. برخلاف IcedCoffee، بدافزار KopiLowak دارای چندین دستور اولیه است، ازجمله اجرای دستورات سیستمی دلخواه و حذف خود بدافزار از سیستم. در نسخه بالاتر، قابلیتهای استخراج داده در آن تعبیه شدهاست.
در اواسط سال ۲۰۱۸، مجموعهای کوچک از سیستمهای کشورهای سوریه و افغانستان توسط این بدافزار آلوده شدند که در آنها از فایلهای میانبر ویندوز (LNK) بهرهبرداری شدهاست.
بدافزار Carbon Cabon علیه دولت و وزارتخانههای امور خارجه در کشورهای آسیای مرکزی مورد استفاده قرار گرفت. بدافزار Carbon هزاران قربانی را تحتتاثیر قرار دادهاست.
بدافزار Mosquito بدافزار دیگر این گروه، Mosquito است که از مولفههای بدون فایل بهرهمیبرد. برای انتقال این بدافزار به رایانه قربانی از تکنیک MiTM یا مرد میانی استفاده شده و بدافزار در فایلهای نصبی آلوده به تروجان قرار داده شدهاست. نوع تکنیک MiTM استفاده شده بهطور کامل مشخص نیست، اما بهنظر میرسد از FinFisher MiTM در سطح ISP استفاده شدهاست.
شواهد نشان میدهد که فعالیتهای این گروه همچنان پایدار است و از سرعت آنها کاسته نشدهاست.