俄罗斯Turla APT利用MSBuild投递TinyTurla后门

wsw

一场诱骗用户的威胁活动，通过与人权和公共通知相关的恶意文档，旨在让俄罗斯支持的威胁组织访问受害者的系统进行网络间谍活动。

一个与俄罗斯有关的高级持续性威胁（APT）组织在一场活动中滥用了PDF和MSBuild项目文件，通过社会工程电子邮件交付TinyTurla后门作为无文件负载。研究人员表示，这场活动的无缝交付程序展示了其复杂性的显著提升。



来自Cyble Researchers and Intelligence Labs（CRIL）的研究人员识别了这场活动，该活动使用带有邀请参加人权研讨会或提供公共通知的文件的电子邮件作为诱饵，感染用户TinyTurla。在昨天发布的关于该活动的博客文章中，他们表示攻击者还冒充合法权威机构以诱骗受害者。



“当目标个人误认为这是合法的邀请或通知并打开它时，他们可能会无意中在其系统中安装一个微小的后门，”根据该文章的描述。攻击者随后可以使用后门从他们控制的命令与控制（C2）服务器执行命令并渗透受害者的系统。



该活动主要针对菲律宾的个人和实体，通过在.LNK文件中嵌入诱饵PDF和MSBuild项目文件来实现“无缝执行”，展示了攻击者的复杂性。攻击者还“使用Microsoft Build Engine（MSBuild）执行项目文件以交付隐秘的无文件最终负载”。



可能的幕后黑手：Turla APT

TinyTurla后门与一个长期运行的俄罗斯支持的威胁行为者Turla有关，该组织通常针对非政府组织，特别是那些与支持乌克兰有关的组织，研究人员指出。他们认为该组织是此次恶意活动的幕后黑手。



研究人员观察到的代码、电子邮件内容和其他策略也指向该APT。“利用基本的第一阶段后门功能，加上利用受感染的Web服务器作为其C2基础设施，符合Turla的行为模式，”文章称。



Turla还以在受感染网站的特定目录中部署基于PHP的C2而闻名，这也是在此次活动中观察到的行为。



从垃圾邮件到后门恶意软件

如前所述，该活动始于包含邀请参加人权研讨会或冒充菲律宾统计局的公共通知的文件的垃圾邮件。后者由安全研究员Simon Kenin在社交媒体平台X上发现并分享。



当受害者点击文档——实际上是一个恶意的.LNK文件——它会触发嵌入的PowerShell脚本的执行，启动一系列操作。这些操作包括读取.LNK文件的内容并将其写入三个不同的文件——一个诱饵PDF、加密数据和一个自定义的MSBuild项目——在%temp%位置。MSBuild项目执行以打开诱饵文档。



“这个MSBuild项目包含解密加密数据的代码，然后将其保存到%temp%位置，扩展名为.log，”文章称。“随后，这个.log文件，也是一个MSBuild项目，计划通过Task Scheduler使用‘MSBuild.exe’执行以进行后门活动。”



TinyTurla通过使用多个线程来管理其操作，每个线程设计为执行特定任务。“shell”使后门能够通过在该过程中运行指定命令来在受害者的机器上执行命令。“sleep”操作允许攻击者动态调整后门的睡眠间隔。



后门执行的其他操作包括“上传”操作，允许它从C2服务器下载文件并将其本地保存到受害者的机器上，以及“下载”操作，可以将文件从受害者的机器导出到C2服务器。



“通过协调这些不同的操作，后门作为一种多功能工具为[威胁行为者]服务，”文章称。“它使他们能够在避免检测的同时进行后续恶意活动，并增强对受感染系统的控制。”



避免被Turla等APT攻击

尽管该活动冒充合法文件和无缝部署程序使其难以检测，但研究人员建议有几种方法可以避免失陷。



由于该活动的入口点是垃圾邮件，部署强大的电子邮件过滤系统可以识别和阻止有害附件的传播。此外，组织应建议员工在处理电子邮件附件或链接时，尤其是来自未知发送者的附件或链接时，务必保持高度警惕。



关于该活动滥用MSBuild，组织可以将该工具的使用限制在授权人员或特定系统上，从而“降低威胁行为者未经授权使用的风险”。事实上，几年前，另一个基于俄罗斯的APT在臭名昭著的Zerologon活动中也滥用过这个工具。



研究人员指出，防御者还应考虑禁用或限制在用户工作站和服务器上执行脚本语言（如PowerShell），如果它们对于合法用途不是必需的。