Turla APT 组织涉嫌利用 MSBuild 微小后门进行隐秘攻击

阅读量45750

发布时间 : 2024-05-21 10:31:48

Cyble 研究与情报实验室 (CRIL) 发现了一项复杂的网络攻击活动,该活动使用恶意 LNK 文件,可能通过垃圾邮件进行分发。这项复杂的攻击活动可能是由臭名昭著的 Turla 高级持续性威胁 (APT) 组织策划的,它利用人权研讨会邀请和公共咨询作为诱饵,利用恶意负载入侵用户系统。

威胁行为者 (TA) 通过在 .LNK 文件中嵌入诱饵 PDF 和 MSBuild 项目文件来展示高水平的复杂性,确保无缝执行过程。利用 Microsoft 构建引擎 (MSBuild),TA 执行这些项目文件以部署隐秘的无文件最终有效负载,充当后门以方便对受感染系统进行远程控制。

Turla APT 组织感染链


攻击以隐藏在 ZIP 存档中的恶意 .LNK 文件展开,可能通过网络钓鱼电子邮件发送。执行后,.LNK 文件会触发 PowerShell 脚本,启动一系列操作。这些操作包括从 .LNK 文件中提取内容并在 %temp% 位置创建三个不同的文件:诱饵 PDF、加密数据和自定义 MSBuild 项目。

图拉APT集团
来源:Cyble
伪装的 .LNK 文件会触发 PowerShell 脚本,然后该脚本会打开诱饵 PDF,同时静默执行嵌入式 MSBuild 项目。

图拉APT集团
来源:Cyble
该项目文件包含加密内容,采用 Rijndael 算法来解密数据,随后执行最终的后门有效负载。

诱饵 pdf
来源:Cyble
使用 MSBuild.exe 执行解密的 MSBuild 项目文件时,会直接在内存中运行内联任务。此任务使后门能够启动各种操作,包括监视进程、执行命令以及与命令和控制 (C&C) 服务器通信以获取进一步指令。

Turla APT 组织的威胁行为者归因

据CRIL称,由于代码中的俄语注释以及与之前的 Turla 活动的行为相似,此次活动背后的威胁行为者是 Turla APT 组织。该组织针对非政府组织的重点与引用人权研讨会的诱饵文件一致。

MSBuild 和其他合法应用程序的利用凸显了威胁行为者的持久性。通过利用固有功能,Turla APT 组织可以逃避传统的安全措施。组织必须采用多层安全方法来有效降低风险。

为了加强对 Turla APT 组织等复杂威胁的防御,组织应采取关键的网络安全措施。这包括实施强大的电子邮件过滤功能以阻止恶意附件,并在处理来自未知来源的电子邮件附件时保持谨慎。

将 MSBuild 等开发工具的访问权限限制为授权人员有助于防止滥用,同时禁用 PowerShell 等不必要的脚本语言可降低被利用的风险。建立网络级监控对于快速检测和响应异常活动至关重要。这些做法共同增强了安全态势,保护敏感数据和系统免受网络威胁。

本文转载自:

如若转载,请注明出处: https://thecyberexpress.com/new-turla-apt-groups-tiny-backdoor-tactics/

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66