Turla组织近期活动,更新武器库

释放双眼,带上耳机,听听看~!

国庆杂记,手机打字记录

原文报告主要对该组织投放木马方式的变化和专用木马变种的变化进行了分析。

组织名:Turla

别称:Venomous Bear, Waterbug, Uroboros

利用攻击框架:KopiLuwak , IcedCoffee, Carbon ,WhiteBear, 和WhiteAtlas

使用的几种该组织独有的恶意软件进行全球范围的针对性攻击图如下所示

Turla 在2017-2018的攻击分布图

Turla的KopiLuwak javascript (https://securelist.com/kopiluwak-a-new-javascript-payload-from-turla/77429/)后门出现新的投放方式

有趣的方式为,该组织会通过wifi 进行攻击,通过带有adobe的网站的下载会话进行拦截注入。

接下来就是上面提到的各类框架新的投放和木马本身的变化,还有三种技术变更,如下

1.  .JS附件投放Skipper/WhiteAtlas 和WhiteBear

2.  2018年Mosquito投放技术变更

3.  中间人攻击和Mosquito网络躲避检测技术

   中间人攻击中,由一个正常程序发起的相关恶意文件下载url

hxxp://admdownload.adobe[.]com/bin/live/flashplayer23ax_ra_install.exe

————————

在某些情况下,两个“.js”文件被写入磁盘,被感染的系统被配置为在启动时运行它们。它们的命名提供了对此功能意图的洞察,即通过Google应用程序使恶意软件保持远程更新,并通过每次启动时加载和运行“1.txt”来维护本地设置更新。在某种程度上,这种分阶段的脚本加载技术似乎与过去针对欧洲政府组织的Turla事件中观察到的冰咖啡javascript加载技术共享。服务器端提供了更新,从而减少了恶意软件的发现。

google_update_checker.js

local_update_checker.js

原文链接

https://securelist.com/shedding-skin-turlas-fresh-faces/88069/

附上最新该组织的键盘记录器样本分析

#恶意软件#  turla keylogger 分析part2

https://0ffset.wordpress.com/2018/10/05/post-0x17-2-turla-keylogger/

本文源自微信公众号:黑鸟

人已赞赏
安全工具

伊朗APT组织OilRig针对中东政府发起攻击,OopsIE木马新增逃逸技术

2019-10-16 10:39:51

安全工具

关于伊朗黑客组织污水的相关成员追溯分析报告

2019-10-16 10:39:57

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索