安基网 首页 资讯 安全报 查看内容

网络间谍组织Turla再出手,四家亚美尼亚网站被攻陷

2020-3-25 20:48| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,网络安全公司ESET的研究人员针对一场疑似由网络间谍组织Turla操控的水坑攻击(Watering hole)活动进行了分析。在这场活动中,Turla至少成功侵入了四家亚美尼亚网站,试图以虚假的Adobe Flash更新作为诱饵传播两种新型恶意软件——NetFlash和PyFlash。至少四家亚美尼亚网站遭入侵如上所述,Turla ...

近日,网络安全公司ESET的研究人员针对一场疑似由网络间谍组织Turla操控的水坑攻击(Watering hole)活动进行了分析。

在这场活动中,Turla至少成功侵入了四家亚美尼亚网站,试图以虚假的Adobe Flash更新作为诱饵传播两种新型恶意软件——NetFlash和PyFlash。

至少四家亚美尼亚网站遭入侵

如上所述,Turla在这场新的水坑攻击活动中至少成功侵入了四家亚美尼亚网站,其中包括两个政府网站,具体如下:

  • armconsul[.]ru:亚美尼亚驻俄罗斯大使馆领事处
  • mnp.nkr[.]am:阿尔札赫自然保护和自然资源部
  • aiisa[.]am:亚美尼亚国际和安全事务研究所
  • adgf[.]am:亚美尼亚存款担保基金

ESET研究人员据此推测,Turla此次的攻击目标很可能包括政府官员和政客。

遭入侵网站被插入恶意代码

根据ESET研究人员的说法,Turla在成功侵入上述网站后均插入了一段恶意JavaScript代码。例如,一段经过混淆处理的代码就被添加在了mnp.nkr[.]am下的jquery-migrate.min.js (一个通用的JavaScript库)文件的末尾。

图1.被注入mnp.nkr[.]am的恶意JavaScript代码

访问被黑网站将感染恶意软件

分析表明,上述恶意代码的唯一功能是从skategirlchina[.]com/wp-includes/data_from_db_top.php加载外部JavaScript 。

具体来讲,一旦有人访问了受感染的网页之后,恶意代码就会从skategirlchina[.]com下载第二阶段JavaScript,同时为访问者的浏览器添加指纹。

图2.指纹脚本

如果访问者被Turla认定为潜在攻击目标,那么服务器就会用一段接下来会创建一个iframe的JavaScript代码进行响应。换句话来说,Turla只会攻击他们感兴趣的目标。

创建的iframe将向访问者展示一个虚假的Adobe Flash更新警告,目的是诱使他们下载恶意的Flash安装程序。

图3.虚假的Adobe Flash更新警告


图4.水坑攻击的完整流程

恶意软件分析

一旦访问者执行了下载的恶意安装程序,内嵌的恶意软件就将执行。

2019年8月底之前:Skipper

在2019年8月底之前,访问者下载的文件是一个RAR-SFX压缩文件,其中包含一个合法的Adobe Flash v14安装程序和另一个RAR-SFX压缩文件,后者包含一个被称为“Skipper ”的后门的所有组件。

2019年9月开始:NetFlash和PyFlash

在2019年8月底,由skategirlchina[.]com托管的有效载荷发生了变化。

NetFlash

新的有效载荷是一个.NET应用程序,其中包含Adobe Flash V32的安装程序(将被释放到“%TEMP%adobe.exe,”)以及NetFlash(一个.NET downloader,将被释放到“%TEMP%winhost.exe”)。

其中,NetFlash将从硬编码的网址下载第二阶段恶意软件,并滥用Windows计划任务建立持久性机制。

图5. NetFlash的主函数

PyFlash

第二阶段恶意软件是一个py2exe可执行文件(py2exe是一个Python扩展,用于将Python脚本转换为独立的Windows可执行文件),这也是Turla开发人员首次使用Python语言开发后门。

后门将通过HTTP与硬编码的C&C服务器通信,以上传有关受感染计算机的详细信息,包括操作系统版本和网络状态。

图6. PyFlash Python脚本中的全局变量


图7. PyFlash的主函数

此外,C&C服务器还可以以JSON格式向PyFlash发送命令,具体如下:

  • 从指定的HTTP(S)链接下载其他文件;
  • 使用Python函数subprocess32.Popen执行Windows命令;
  • 更改执行延迟:通过修改Windows任务来实现每X分钟(默认为5分钟)启动一次恶意软件;
  • 卸载恶意软件。

结语

水坑攻击是Turla最为常用的攻击手段,涉及到使用社交工程技巧来诱使受害者下载并安装恶意软件,如虚假的Adobe Flash更新警告。

从使用Skipper切换到使用NetFlash和PyFlash,甚至首次使用了Python语言来开发后门,说明Turla在恶意软件的开发上也下了功夫,目的都是为了提高网络间谍活动的成功率。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6805018869355250179/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部