Turla黑客团体继续改进其Carbon后门

被称为Turla（也称为Waterbug，KRYPTON和Venomous Bear）的俄罗斯APT集团不断改进其Carbon后门，ESET的专家检测到定期发布的新版本。

碳是一个第二阶段的后门，在攻击的初步侦察阶段之后使用，它涉及恶意软件，如Tavdig。

Turla的武库由复杂的黑客工具和恶意软件组成，如Turla（Snake和Uroburos rootkit），Epic Turla（Wipbot和Tavdig）和Gloog Turla。

在2016年6月，卡巴斯基的研究人员报告说，Turla APT已经开始使用Icedcoffee，这是通过支持宏的Office文档提供的JavaScript有效载荷。

上一次研究人员报告说，Turla的活动是2017年2月，卡巴斯基实验室的专家发现了一系列与希腊，卡塔尔和罗马尼亚的针对性组织相关的JavaScript恶意软件。

Turla自2007年以来一直活跃，黑客们对全球的目标发起了几次高调袭击，包括针对瑞士防务公司RUAG和美国中央司令部的攻击。

碳，又名Pfinet，曾经是黑客机组武器的工具，ESET的研究人员将其描述为Uroburos的精简版本。

碳是第二阶段的后门，通常是在攻击侦察阶段之后部署的，它具有多个组件，包括一个滴管，命令和控制（C＆C）通信元件，协调器以及执行协调器的加载程序。

协调员用于将C＆C通信库注入合法流程，并将通过C＆C库收到的任务分发到位于网络上的其他机器人。

ESET已经确定了去年编制的几个版本的碳; 最新的一个是在2016年10月21日汇编的。较新版本的碳恶意软件大量使用加密。

几乎任何组件都是一个DLL文件，除了加载程序，它是一个EXE文件。

“特拉集团被认为是艰苦的，分阶段的工作，首先在部署最先进的工具如碳之前先对受害者的系统进行侦察。

经典的碳折扣链从用户接收到长矛电子邮件或访问先前受到妥协的网站（通常是用户定期访问的网站）开始，这是一种被称为喷水攻击的技术。“读取ESET共享的分析。

“成功的攻击之后，用户机器上安装了第一阶段后门（如Tavdig或Skipper）。 一旦侦察阶段结束，关键系统就安装了像Carbon这样的第二阶段后门。

“Turla后面的威胁演员每次在野外被发现时都修改了他们的工具。 研究人员观察到，在Carbon的情况下，黑客在2016年夏季发布的版本3.8中更改了文件名和互斥体。

专家注意到，在恶意软件开始与C＆C进行通信之前，它检查受感染系统是否存在数据包捕获软件，例如Wireshark和Tcpdump。

“在与C＆C服务器或其他计算机进行通信之前，恶意软件确保没有最常见的数据包捕获软件在系统上运行：

TCPdump.exe

windump.exe

ethereal.exe

wireshark.exe

ettercap.exe

snoop.exe

dsniff.exe“

作者：Pierluigi Paganini，由悬镜安全编译报道，如需转载请标注：http://www.xmirror.cn/