安基網 首頁 資訊 安全報 查看內容

網絡間諜組織Turla再出手,四家亞美尼亞網站被攻陷

2020-3-25 20:48| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日,網絡安全公司ESET的研究人員針對一場疑似由網絡間諜組織Turla操控的水坑攻擊(Watering hole)活動進行了分析。在這場活動中,Turla至少成功侵入了四家亞美尼亞網站,試圖以虛假的Adobe Flash更新作為誘餌傳播兩種新型惡意軟件——NetFlash和PyFlash。至少四家亞美尼亞網站遭入侵如上所述,Turla ...

近日,網絡安全公司ESET的研究人員針對一場疑似由網絡間諜組織Turla操控的水坑攻擊(Watering hole)活動進行了分析。

在這場活動中,Turla至少成功侵入了四家亞美尼亞網站,試圖以虛假的Adobe Flash更新作為誘餌傳播兩種新型惡意軟件——NetFlash和PyFlash。

至少四家亞美尼亞網站遭入侵

如上所述,Turla在這場新的水坑攻擊活動中至少成功侵入了四家亞美尼亞網站,其中包括兩個政府網站,具體如下:

  • armconsul[.]ru:亞美尼亞駐俄羅斯大使館領事處
  • mnp.nkr[.]am:阿爾札赫自然保護和自然資源部
  • aiisa[.]am:亞美尼亞國際和安全事務研究所
  • adgf[.]am:亞美尼亞存款擔;

ESET研究人員據此推測,Turla此次的攻擊目標很可能包括政府官員和政客。

遭入侵網站被插入惡意代碼

根據ESET研究人員的說法,Turla在成功侵入上述網站后均插入了一段惡意JavaScript代碼。例如,一段經過混淆處理的代碼就被添加在了mnp.nkr[.]am下的jquery-migrate.min.js (一個通用的JavaScript庫)文件的末尾。

圖1.被注入mnp.nkr[.]am的惡意JavaScript代碼

訪問被黑網站將感染惡意軟件

分析表明,上述惡意代碼的唯一功能是從skategirlchina[.]com/wp-includes/data_from_db_top.php加載外部JavaScript 。

具體來講,一旦有人訪問了受感染的網頁之后,惡意代碼就會從skategirlchina[.]com下載第二階段JavaScript,同時為訪問者的瀏覽器添加指紋。

圖2.指紋腳本

如果訪問者被Turla認定為潛在攻擊目標,那么服務器就會用一段接下來會創建一個iframe的JavaScript代碼進行響應。換句話來說,Turla只會攻擊他們感興趣的目標。

創建的iframe將向訪問者展示一個虛假的Adobe Flash更新警告,目的是誘使他們下載惡意的Flash安裝程序。

圖3.虛假的Adobe Flash更新警告


圖4.水坑攻擊的完整流程

惡意軟件分析

一旦訪問者執行了下載的惡意安裝程序,內嵌的惡意軟件就將執行。

2019年8月底之前:Skipper

在2019年8月底之前,訪問者下載的文件是一個RAR-SFX壓縮文件,其中包含一個合法的Adobe Flash v14安裝程序和另一個RAR-SFX壓縮文件,后者包含一個被稱為“Skipper ”的后門的所有組件。

2019年9月開始:NetFlash和PyFlash

在2019年8月底,由skategirlchina[.]com托管的有效載荷發生了變化。

NetFlash

新的有效載荷是一個.NET應用程序,其中包含Adobe Flash V32的安裝程序(將被釋放到“%TEMP%adobe.exe,”)以及NetFlash(一個.NET downloader,將被釋放到“%TEMP%winhost.exe”)。

其中,NetFlash將從硬編碼的網址下載第二階段惡意軟件,并濫用Windows計劃任務建立持久性機制。

圖5. NetFlash的主函數

PyFlash

第二階段惡意軟件是一個py2exe可執行文件(py2exe是一個Python擴展,用于將Python腳本轉換為獨立的Windows可執行文件),這也是Turla開發人員首次使用Python語言開發后門。

后門將通過HTTP與硬編碼的C&C服務器通信,以上傳有關受感染計算機的詳細信息,包括操作系統版本和網絡狀態。

圖6. PyFlash Python腳本中的全局變量


圖7. PyFlash的主函數

此外,C&C服務器還可以以JSON格式向PyFlash發送命令,具體如下:

  • 從指定的HTTP(S)鏈接下載其他文件;
  • 使用Python函數subprocess32.Popen執行Windows命令;
  • 更改執行延遲:通過修改Windows任務來實現每X分鐘(默認為5分鐘)啟動一次惡意軟件;
  • 卸載惡意軟件。

結語

水坑攻擊是Turla最為常用的攻擊手段,涉及到使用社交工程技巧來誘使受害者下載并安裝惡意軟件,如虛假的Adobe Flash更新警告。

從使用Skipper切換到使用NetFlash和PyFlash,甚至首次使用了Python語言來開發后門,說明Turla在惡意軟件的開發上也下了功夫,目的都是為了提高網絡間諜活動的成功率。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6805018869355250179/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 山东十一选五走势图网易 甘肃11选5前3号码推荐 青海福彩快三玩法 股票加杠杆软件 辽宁十一选五遗漏任五 泳坛夺金选号技巧 上海快三100期彩经网 机构股票推荐 吉林快3开奖结果走势图 浙江11选5基本走势图