Turla（又名Pensive Ursa、Uroburos、Snake）是一個至少從2004年開始運行，總部位于俄羅斯的一個攻擊組織。該組織與俄羅斯聯邦安全局（FSB）有一定聯系。接下來，我們將在這篇文章中介紹Pensive Ursa工具庫中最近活躍的10種惡意軟件：Capibar、Kazuar、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

MITRE ATT&CK稱Turla是以其有針對性的攻擊和隱身而聞名，多年來，Pensive Ursa已經成為一個先進而難以被發現的惡意軟件。

正如MITRE所描述的那樣，Pensive Ursa已對至少45個國家發起過攻擊，包括政府實體、大使館和軍事組織，以及教育、研究和制藥公司。此外，該組織還參與了2022年2月開始的俄烏沖突。據烏克蘭CERT稱，Pensive Ursa利用間諜攻擊烏克蘭目標，特別是針對其國防部門。

雖然Pensive Ursa主要利用他們的間諜工具瞄準Windows設備，但也會攻擊macOS和Linux設備。

以下是該團隊工具庫中最活躍的10種惡意軟件。對于每種類型的惡意軟件，我們都提供了簡短的描述和分析，以及Cortex XDR如何檢測和阻止攻擊。

Capibar

別名：DeliveryCheck、GAMEDAY；

惡意軟件類型：后門；

首次發現時間：2022年；

Capibar（又名DeliveryCheck，GAMEDAY）是Pensive Ursa后門，于2022年首次被觀察到，主要用于對烏克蘭國防軍進行間諜活動，通過電子郵件將其作為帶有惡意宏的文檔傳播。

Capibar通過下載并在內存中啟動負載的計劃任務而·持續存在。攻擊組織將Capibar作為托管對象格式（MOF）文件安裝在受攻擊的MS Exchange服務器上，使攻擊者能夠完全控制服務器。

下圖顯示了負責加載從其命令和控制（C2）接收的XML的代碼片段，圖2顯示了觸發的警報：

Turla（又名Pensive Ursa）工具庫分析

Capibar代碼段加載從其C2接收的XML

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR觸發了警報

Kazuar

惡意軟件類型：后門；

首次發現時間：2017年

Kazuar是.NET后門，于2017年被首次發現。Kazuar提供對其操作人員所針對的受感染系統的全面訪問權限，Kazuar附帶了一個強大的命令集，包括遠程加載額外插件，以增強后門功能的能力。

2021年，研究人員發現，Kazuar和俄羅斯攻擊組織在 SolarWinds 行動中使用的SUNBURST后門之間存在有趣的代碼重疊和相似之處。2023年7月，烏克蘭CERT破獲了一次間諜行動，Pensive Ursa則是將Kazuar作為主要后門之一。

下圖顯示了Cortex XDR阻止將Kazuar DLL注入explorer.exe進程，下圖顯示為防止Kazuar而觸發的警報：

Turla（又名Pensive Ursa）工具庫分析

Kazuar被注入explorer.exe并被Cortex XDR阻止

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR的Kazuar執行阻止警報

Snake

惡意軟件類型：模塊化后門；

首次被發現時間：2003年；

正如CISA在2023年5月描述的那樣，臭名昭著的Snake惡意軟件是Pensive Ursa工具集中最復雜的工具。該工具的主要目的是實現相當長一段時間的持久性，并從專用目標中盜取數據。自2003年以來，它已經發展了20年。

Snake在全球50多個國家被發現，美國司法部發表聲明，宣布了MEDUSA行動。在該行動中，他們查獲了Snake惡意軟件活動和P2P網絡。他們使用了聯邦調查局開發的一種名為PERSEUS的工具，將其用作Snake惡意軟件的阻止攻擊。

基于先前的分析，Snake惡意軟件實現了可維護的代碼設計，這表明其開發者具有較高的軟件開發功能。

Snake實現了以下功能：

基于HTTP和TCP的通信協議的自定義實現；

用于隱身的內核模塊；

按鍵記錄儀功能；

Snake最近的變種包括一個類似于下面描述的感染鏈。

Snake惡意軟件傳播示例

執行時，Snake從其資源中加載并執行Pensive Ursa的PNG Dropper惡意軟件，并創建一個硬編碼互斥體{E9B1E207-B513-4cfc-86BE-6D6004E5CB9C，如下圖所示：

Turla（又名Pensive Ursa）工具庫分析

Snake loader的資源

然后，PNG釋放器解碼并加載一個易受攻擊的VM驅動程序，該驅動程序用于權限提升，以便將主Snake負載寫入磁盤，并將其注冊為服務。下圖所示的Snake加載程序變體檢測感染鏈中的多個階段，這些階段導致部署、服務注冊和執行Snake主負載。

下圖顯示了Cortex XDR中彈出的執行阻止警報：

Turla（又名Pensive Ursa）工具庫分析

檢測模式下Cortex XDR中顯示的Snake執行檢測

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Snake執行阻止警報

QUIETCANARY

別名：Tunnus；

惡意軟件類型：后門；

首次發現時間：2017；

自2019年以來，人們一直在使用QUIETCANRY觀察Pensive Ursa，Tomiris組織甚至更早地使用了這個后門。

Pensive Ursa于2022年9月便針對烏克蘭的目標部署了QUIETCANARY，以及Kopiluwak惡意軟件。

QUIETCANRY是一個用.NET編寫的輕量級后門，能夠執行從其C2服務器接收的各種命令，包括下載額外的有效負載和執行任意命令。它還實現了RC4加密，以保護其C2通信。

下圖顯示了QUIETCANRY后門功能的不同類，展示了QUIETCANRY觸發的基于Cortex XDR多層保護的警報：

Turla（又名Pensive Ursa）工具庫分析

QUIETCANRY代碼中不同類的代碼段

下圖顯示了執行阻止警報：

Turla（又名Pensive Ursa）工具庫分析

在Cortex XDR中顯示了QUIETCANRY的警報

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的QUIETCANARY/Tunnus執行阻止警報

Kopiluwak

惡意軟件類型：傳播器/下載器；

首次發現時間：2016年；

Kopiluwak惡意軟件于2016年底被首次發現，它是由各種類型的滴管作為多層JavaScript而進行有效負載傳播的。

Pensive Ursa在2017年的一次G20主題攻勢中使用MSIL滴管釋放了Kopiluak惡意軟件，并在2022年末作為SFX可執行文件釋放。

Kopiluwak的JavaScript文件如下圖所示，下面是C:\Windows\Temp\ path下的代碼片段。其目的是收集有關受攻擊計算機的有價值的初始分析信息，例如：

在目標位置列出文件；

檢索當前運行的進程；

顯示活動的網絡連接；

攻擊者通過運行systeminfo、tasklist、net、ipconfig和dir等偵察命令來完成此活動，結果保存在名為result2.dat的文件中。

Turla（又名Pensive Ursa）工具庫分析

在檢測模式下，在Cortex XDR中顯示Kopiluwak執行檢測

下圖列出了由Kopiluwak執行，并由Cortex XDR檢測到的偵察命令：

Turla（又名Pensive Ursa）工具庫分析

Kopiluwak的偵察命令

下圖顯示了Cortex XDR為Kopiluwak發出執行阻止警報：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Kopiluak執行阻止警報

2019年，Pensive Ursa開始使用Topinambour滴管遞送Kopiluak。該組織將Topinambour捆綁到一個合法的軟件安裝程序中。

安裝后，Topinambour作為一個小的.NET文件被放到%localappdata%文件夾中，并作為一個計劃任務寫入。然后，該惡意軟件與其硬編碼的C2虛擬專用服務器（VPS）通信，以傳遞Kopiluwak惡意軟件。

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR在檢測模式下顯示Topinambour執行檢測

下圖顯示了Cortex XDR彈出的阻止警報：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Topinambour執行阻止警報

Crutch

惡意軟件類型：后門；

首次發現時間：2015年；

2020年12月，ESET研究人員發現了Crutch后門。根據Pensive Ursa的戰術、技術和程序（TTP），攻擊者利用后門攻擊了歐洲的幾個目標，包括一個歐盟成員國的外交部。

這個后門的主要目的是竊取敏感文件，并將數據泄露到Pensive Ursa運營商控制的Dropbox帳戶。使用Dropbox等商業服務進行C2通信是一種已知的（但有效的）技術，因為它是一種合法的服務，并與其他網絡通信相融合。

由于代碼和TTP與Pensive Ursa的另一個名為Gazer的后門有很大的相似性，Crutch被認為是第二階段的后門，其持久性是通過DLL劫持實現的。

下圖顯示了Cortex XDR中Crutch的檢測和阻止：

ComRAT

別名：Agent.btz；

惡意軟件類型：后門；

首次出現時間：2007年

Turla（又名Pensive Ursa）工具庫分析

PowerShell滴管在檢測模式下將ComRAT釋放到Cortex XDR中顯示的磁盤

ComRAT是Pensive Ursa最古老的后門之一，他們在惡意軟件的早期迭代中將其命名為Agent.btz。

據報道，ComRAT于2007年首次被發現。從那時起，它進行了多次升級，截至2020年，ComRAT已經迭代了4版。此攻擊是在C++中開發的，攻擊者已使用PowerShell植入（如PowerStalion）進行部署。

下圖顯示了PowerShell滴管機制。攻擊者在使用ComRAT時的主要目的是從高價值目標那里竊取和泄露機密文件：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示ComRAT PowerShell滴管執行阻止警報

下圖描述了Cortex XDR中的PowerShell和DLL執行阻止：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的ComRAT DLL執行阻止警報

Carbon

惡意軟件類型：后門；

首次發現時間：2014年

Carbon是一個模塊化后門框架，Pensive Ursa已經使用了幾年。Carbon框架包括一個安裝程序、一個協調器組件、一個通信模塊和一個配置文件。

Carbon還具有P2P通信功能，攻擊者使用該功能向受網絡上影響的其他受感染設備發送命令。Carbon通過使用Pastebin等合法網絡服務提供商接收C2的命令。

下圖顯示了Carbon在Cortex XDR中的執行檢測和阻止：

Turla（又名Pensive Ursa）工具庫分析

Carbon創建了一個加載附加組件的服務，該服務在檢測模式下顯示在Cortex XDR中

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示的Carbon執行阻止警報

HyperStack

惡意軟件類型：后門；

首次亮相：2018年；

HyperStack（又名SilentMo，BigBoss）是一個RPC后門，于2018年首次被發現，攻擊者在針對歐洲政府實體的行動中使用了它。HyperStack使用一個控制器進行操作，該控制器使用命名管道通過RPC與受HyperStack感染的受攻擊環境中的其他計算機進行通信。此通信方法使攻擊者能夠控制本地網絡上的計算機。

HyperStack顯示了與Pensive Ursa的Carbon后門的幾個相似之處，如加密方案、配置文件格式和日志記錄約定。

下圖顯示了HyperStack在Cortex XDR中的檢測和阻止：

Turla（又名Pensive Ursa）工具庫分析

HyperStack創建了一個用于持久性的服務，在檢測模式下顯示在Cortex XDR中

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示HyperStack執行阻止警報

TinyTurla

惡意軟件類型：后門；

首次發現時間：2021年；

TinyTurla惡意軟件于2021年被Talos首次發現，他們認為這是第二階段的后門。美國、歐盟和后來的亞洲目標都發現了這種后門。

TinyTurla的主要功能包括：

下載其他有效負載；

向攻擊者的C2服務器上傳文件；

執行其他進程；

如下圖所示，攻擊者通過批處理腳本將后門安裝為名為WindowsTimeService的服務。批處理腳本還負責將C2服務器的數據寫入注冊表。一旦后門被執行，它讀取這些值將與其C2通信。

它偽裝成一個名為w64time.DLL的DLL，位于system32文件夾下。

Turla（又名Pensive Ursa）工具庫分析

上面描述的批處理腳本的內容

雖然w32time.dll是一個合法的DLL，而且其他合法的DLL確實有32位和64位的變體，但是合法的w64time.dll并不存在。這種命名慣例旨在進一步分散受害者的注意力，使他們不產生懷疑。

下圖顯示了Cortex XDR檢測批處理腳本、W64Time服務和TinyTurla DLL執行的編寫和執行：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR在檢測模式下顯示TinyTurla阻止

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR中顯示TinyTurla執行阻止警報

戰術、技術和程序(TTP)

Cortex XDR警報被映射到MITRE ATT&CK框架，并提供與攻擊相關的戰術和技術信息，如下圖所示：

Turla（又名Pensive Ursa）工具庫分析

Cortex XDR的Mitre ATT&CK映射

Pensive Ursa相關活動和工具庫在Cortex XDR中引發了多個警報，這些警報被映射到表1中引用的MITRE ATT&CK戰術和技術。

Turla（又名Pensive Ursa）工具庫分析

MITRE ATT&CK戰術和技術

總結

眾所周知，Pensive Ursa高級持續攻擊（APT）組織是一個重要且持續存在的攻擊組織。憑借其先進的技術，其運營組織在針對全球行業的同時，也向大眾展示了一種先進的規避方式。

我們在本文探索了Pensive Ursa工具庫中排名前十的惡意軟件，并通過Palo Alto Networks Cortex XDR監測了其執行過程。這表明針對先進攻擊使用多層保護模式的重要性。

因為Pensive Ursa APT攻擊的受害者可能會造成重大損失，其后果不僅限于財務損失和數據泄露，還包括影響關鍵基礎設施的可能性，這可能會對國家安全和地緣政治產生影響。因此，每個組織，無論其規模或行業如何，都必須優先考慮全面的安全戰略，并投資多層安全措施，以防范Pensive Ursa等APT組織日益增長的攻擊。

保護和緩解措施

Palo Alto Networks Cortex XDR和XSIAM的客戶可以獲得針對本文描述的Pensive Ursa惡意軟件庫的保護。

本文針對每種惡意軟件都提出了阻止和檢測警報：Capibar、Kazua、Snake、Kopiluak、QUIETCANARY/Tunnus、Crutch、ComRAT、Carbon、HyperStack和TinyTurla。

SmartScore是一個獨特的機器學習驅動的評分引擎，它將安全調查方法及其相關數據轉換為混合評分系統，對一個涉及已知Pensive Ursa工具和技術組合的事件進行了91分的評分，這是一個非常高的風險水平，如下圖所示：

Turla（又名Pensive Ursa）工具庫分析

SmartScore有關該事件的信息，對于Palo Alto Networks的客戶，其提供了與該組織相關的以下覆蓋范圍：

Cortex XDR通過分析來自多個數據源的用戶活動來檢測基于用戶和憑據的攻擊，這些數據源包括：

終端；

網絡防火墻；

活動目錄；

身份和訪問管理解決方案；

云工作負載；

Cortex XDR通過設備學習，建立用戶活動隨時間變化的檔案，通過將新活動與過去的活動、p2p活動和實體的預期行為進行比較。

Cortex XDR檢測到表明基于憑據攻擊的異常活動，它還提供了以下與本文中討論的攻擊相關的保護措施：

使用基于本地分析模塊的行為攻擊保護和設備學習，防止執行已知惡意軟件，并防止執行未知惡意軟件；

使用Cortex XDR 3.4提供的新憑證收集保護，防止使用憑證收集工具和技術；

使用Cortex XDR 3.4中最新發布的Anti-Webshell保護，防止攻擊者從web shell中釋放和執行命令；

使用反利用模塊以及行為攻擊保護來防止對不同漏洞的利用，包括ProxyShell和ProxyLogon；

Cortex XDR Pro通過行為分析檢測攻擊后活動，包括基于憑據的攻擊。

文章翻譯自：https://unit42.paloaltonetworks.com/turla-pensive-ursa-threat-assessment/如若轉載，請注明原文地址