Turla,又被称为Snake或Uroburos,是目前发现的最为复杂的网络间谍攻击行动之一。近日,随着卡巴斯基实验室检测到Epic对其用户的攻击企图,Turla的神秘面纱终于被掀开。卡巴斯基实验室针对这一攻击行动的最新研究表明,Turla是一个多阶段的攻击行动,而Epic就是该行动中的第一个阶段。
据悉,Epic的攻击目标主要为政府机构(内务部、贸易和商务部、外交部/对外事务部和情报部门)、大使馆、军事组织、研究和教育组织以及制药企业。卡巴斯基实验室的安全专家总计发现数百个受害者IP地址,分布于超过45个国家。
此外,卡巴斯基实验室的研究人员还发现,Epic Turla攻击者使用了零日漏洞利用程序、社交工程技巧以及水坑式攻击感染受害者。其中,“水坑”指的是潜在受害者经常访问的网站。水坑式攻击需要利用社交工程技巧,欺骗用户运行假冒的“Flash Player”安装程序。攻击者会事先攻陷这些网站,在其中注入恶意代码;然后根据访问者的IP地址(例如政府机构的IP地址),在网站上植入Java或浏览器漏洞利用程序、签名的假冒Adobe Flash Player软件或假冒的Microsoft Security Essentials。
一旦用户的计算机被感染,Epic后门程序会立即连接命令和控制(C&C)服务器,将受害者系统信息打包发送到服务器。基于这些信息,攻击者上传预先配置好的批处理文件和定制的横向移动工具。
卡巴斯基实验室在分析过程中发现,攻击者接下来会使用Epic恶意软件部署一种更为复杂的后门程序——“Cobra/Carbon系统”,让它使用不同的命令和控制服务器。而这正是Turla网络间谍攻击行动的第二个阶段。
针对Turla的这一重大发现,卡巴斯基实验室全球研究和分析团队总监Costin Raiu解释说:“针对‘Carbon系统’配置文件的更新很有趣,因为它是Turla幕后攻击者的另一个阶段。这表明,我们遭遇了一种多阶段的感染行为。其中,Epic Turla首先在系统中站住脚,验证被攻击的受害者。如果攻击者对受害者感兴趣,就会在受感染系统中升级完整版的Turla Carbon系统。”