俄语APT组织共享恶意软件传播方案在亚洲的攻击目标出现重合

这些发现包括在卡巴斯基实验室全球研究和分析团队今天发布的Turla威胁组织的四个活跃集群的最新演变和活动概述中。

KopiLuwak(这个名字来自于一种罕见的咖啡种类)最早于2016年11月被发现，它会释放包含恶意软件以及启用宏的文档，还会释放新的严重混淆的JavaScript恶意软件用来在系统和网络内进行侦察。我们观察到的KopiLuwak的最新演化是在2018年年中，研究人员们注意到在叙利亚和阿富汗出现该威胁的最新目标。Turla使用了一种新的带有Windows快捷方式(.LNK)文件的新型鱼叉式钓鱼传播手段。分析显示LNK文件包含PowerShell以解码和释放KopiLuwak有效负载。这种PowerShell与一个月之前Zebrocy攻击行动中使用的几乎完全一致。

研究人员还发现这两个威胁组织的工具目标出现了重叠，集中体现在敏感的政治目标上，包括政府研究和安全机构、外交使团和军事事务组织，这些目标主要位于中亚。

2018年期间，研究人员追踪的其他Turla恶意软件集群还包括Carbon和Mosquito。

在他们的概览中，研究人员提供了进一步的证据来支持Turla滥用Wi-Fi网络来向受害者传播Mosquito恶意软件的假设，虽然这种做法可能逐渐减少。他们还发现了更为成熟和强大的Carbon网络间谍框架的变种，这种恶意软件传统上只选择性地安装在他们特别感兴趣的受害者身上。我们预计还会出现新的变种，并选择性地部署到Turla恶意软件集群在2019和2018年的攻击目标上，包括中东和北非、西欧和东欧、中亚和南亚以及美洲部分地区。

2018年Turla恶意软件集群的目标包括中东和北非，以及西欧和东欧、中亚和南亚以及美洲的部分地区。

卡巴斯基实验室全球研究和分析团队首席安全研究员Kurt Baumgartner说：“Turla是历史最久，最持久同时也是能力最高的威胁组织之一，以不断蜕皮，尝试新的创新和手段而闻名。2018年，我们对其主恶意软件集群的研究显示它仍在继续重生和试验。值得注意的是，虽然其他使用俄语的威胁组织如CozyDuke(APT29)和Sofacy都是针对西方的组织进行攻击，例如据称在2016年黑客攻击民主党全国委员会。而Turla正在悄悄地将其攻击行动部署到东方国家，而且其最近的活动甚至传播手段开始与Sofacy的Zebrocy子集出现重叠。我们的研究表明，Turla的代码开发和实施正在进行中，那些认为自己可能会成为被攻击目标的组织应该为此做好准备”

卡巴斯基实验室建议，为了降低成为这些高级针对性攻击受害者的风险，企业和组织可以考虑采取以下措施：

· 使用结合了反针对性攻击技术和威胁情报的企业级安全解决方案，例如卡巴斯基威胁管理和防御解决方案。这些解决方案可以通过分析网络异常检测和拦截高级针对性攻击，让网络安全团队充分了解网络并实现响应自动化。

· 让安全人员访问最新的威胁情报数据，这些数据将为他们提供有用的工具，用于有针对性的攻击研究和预防，例如感染迹象(IOC)、YARA规则和定制的高级威胁报告。

· 确保完善企业级补丁管理流程，并仔细检查所有系统配置并实施最佳实践。

· 如果您发现早期的针对性攻击迹象，请考虑托管保护服务，该服务可以让您主动检测高级威胁，缩短驻留时间并及时安排事件响应。

想要进一步了解2018年Turla的活动详情，请阅读Securelist上的相关博文。