2025年初,网络安全研究人员发现两个俄罗斯APT组织之间展开了前所未有的合作,目标是乌克兰的各类机构。
从历史上看,Gamaredon专注于针对政府和关键基础设施开展大规模的鱼叉式钓鱼活动,而Turla则擅长利用复杂的植入程序进行高价值的网络间谍活动。
他们的联合行动标志着局势的显著升级:Gamaredon利用其成熟的工具包获得初步访问权限,随后Turla部署其先进的Kazuar后门程序,以维持隐秘的长期存在。
该联盟利用Gamaredon的嘈杂入侵手段,在精心挑选的机器上部署Turla的模块化间谍植入程序,这表明俄罗斯联邦安全局(FSB)内部网络情报机构存在战略协同。
这种攻击链主要通过恶意LNK文件和借助可移动介质发送的鱼叉式钓鱼邮件发起,其开端是Gamaredon组织的PteroGraphin下载器。
一旦进入受害者系统,PteroGraphin就会通过加密的Telegra.ph渠道获取额外的有效载荷。2025年2月27日,位于%APPDATA%\86.ps1的PteroGraphin使用硬编码的3DES密钥获取并解密了一个第二阶段下载器PteroOdd。
随后,PteroOdd通过侧加载到合法进程中,在内存中检索并执行了Kazuar v3,从而有效规避了传统防御措施。
Welivesecurity的分析师指出,这种双阶段交付机制对于在初始崩溃或安装终端安全产品后重新启动和部署Kazuar植入程序至关重要。
Gamaredon工具与Turla后门程序之间的无缝切换,体现了俄罗斯APT战术的一种演变,即组织间的合作在扩大影响的同时降低了被检测的概率。
尽管Gamaredon发起了数百次喧闹的入侵,但Turla仅会有选择地在被认为极具价值的机器上安装Kazuar。
这种精准定位减少了植入程序的暴露,也将取证痕迹降至最低。
部署后,Kazuar v3通过WebSocket和Exchange Web服务建立加密的命令与控制通道,支持KERNEL、BRIDGE和WORKER三种不同角色,以实现功能模块化并保持对打击企图的抵御能力。
感染机制深入探究
Kazuar的感染机制主要围绕复杂的PowerShell加载器和侧载技术,这些技术会利用合法的Windows进程。PteroOdd获取经base64编码的PowerShell有效载荷后,会执行类似以下的命令:-
Start-Process -FilePath "C:\Program Files\SomeApp\vncutil64[.]exe" -ArgumentList "- EncodedCommand","[base64-encoded Kazuar loader]"这种方法将后门伪装成可信应用程序的一部分,从而避免基于签名的检测。
加载器会在LaunchGFExperience[.]exe旁边写入一个名为LaunchGFExperienceLOC[.]dll的DLL,通过DLL侧加载启动Kazuar。
在内存中,出现了两个不同的KERNEL有效载荷,分别标记为AGN-RR-01和AGN-XX-01,这表明存在冗余的执行路径,可增强植入程序的稳健性。
一旦激活,Kazuar就会收集系统元数据(计算机名称、卷序列号、正在运行的进程),并通过Turla控制的Cloudflare Workers子域名将这些数据渗出。
随后的HTTP POST请求确认植入程序成功启动,并向桥节点提供自适应有效载荷。通过利用动态加载器脚本和双有效载荷执行链,Turla确保即使其中一个交付路径失败或被检测到,也能保持持续访问。
这种感染机制凸显了现代高级持续性威胁(APT)联盟的复杂性:将Gamaredon的广泛覆盖范围与Turla的隐蔽后门相结合,形成了一种多功能的间谍能力,能够渗透高价值目标,同时将被检测的风险降至最低。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
