Die kybernetischen Kampfmittel |
Die kybernetischen Waffen |
Aufklärungs und Spionagewaffen |
Turla |
- Erzeugnis- beschreibung |
Das Epos Turla
Lösung einiger der Geheimnisse der Schlange / Uroburos
Von GReAT am 7. August 2014 01.55 Uhr
Publikationen
Tweet
APT Cyber-Spionage SOCIAL ENGINEERING Schwachstellen und
EXPLOITS HOLE ANGRIFFE
Inhalt
Zusammenfassung
Die epische Turla Angriffe
Die Wasserloch-Angriffe
Die Epic-Command-and-Control-Infrastruktur
Die Epic / Tavdig / Wipbot Hintertür
Seitliche Bewegung und ein Upgrade auf komplexere Hintertüren
Sprache Artefakte
Opfer-Statistiken
Zusammenfassung
Seite 2
Technischer Anhang mit IOCs
Zusammenfassung
In den letzten 10 Monaten haben sich die Forscher von Kaspersky Lab eine massive
Cyber-Spionage analysiert
Operation, die wir als "Epische Turla". Die Angreifer hinter Epische Turla haben
mehrere infiziert
hundert Computer in mehr als 45 Ländern, darunter auch Regierungsinstitutionen,
Botschaften,
Militär, Bildung, Forschung und Pharmaunternehmen.
Die Angriffe sind bekannt, mindestens zwei Zero-Day-Exploits verwendet haben:
CVE-2013-5065 - Rechteausweitung Schwachstelle in Windows XP und Windows 2003
CVE-2013-3346 - Beliebige Codeausführung ermöglichen-in Adobe Reader
Wir beobachteten auch Exploits gegen ältere (gepatcht) Sicherheitslücken, Social
Engineering-Techniken
und Wasserloch Strategien in dieser Angriffe. Der primäre Hintertür in der
epischen Angriffe verwendet wird, ist
auch als "WorldCupSec", "TadjMakhal", "Wipbot" oder "Tavdig" bekannt.
Wenn G-Data veröffentlicht auf Turla / Uroburos im Februar blieben einige Fragen
unbeantwortet. Eine große Unbekannte war die Infektionsvektor für Turla (auch
bekannt als Snake oder Uroburos). Unsere
Analyse zeigt, dass die Opfer über ein ausgeklügeltes mehrstufiges Angriff, der
beginnt infiziert
mit der epischen Turla. In der Zeit, als die Angreifer Vertrauen zu gewinnen,
wird dies mehr aktualisiert
anspruchsvolle Hintertüren, wie der Kohlenstoff / Cobra-System. Manchmal, beide
Hintertüren ausgeführt werden
Tandem und zur "Rettung" miteinander verwendet werden, wenn die Kommunikation
mit einer der Hintertüren verloren.
Sobald die Angreifer erhalten die notwendigen Anmeldeinformationen ohne das
Opfer bemerkt, implementieren sie die
Rootkit und andere extreme Persistenz-Mechanismen.
Die Angriffe sind noch nicht abgeschlossen, wie der Juli 2014 aktiv für Nutzer
in Europa und dem Nahen
Osten.
Hinweis: Eine vollständige Analyse der EPIC-Angriffen steht den Kaspersky
Intelligent Services
Abonnenten. Kontakt: intelreports@kaspersky.com
Die epische Turla Angriffe
Die Angriffe in dieser Kampagne fallen in verschiedene Kategorien je nach dem
Vektor in verwendet
die anfängliche Kompromiss:
Spearphishing E-Mails mit Adobe PDF-Exploits (CVE-2013 bis 3346 + CVE-2013 bis
5065)
Social Engineering, um den Benutzer in laufende Malware Installateure mit ".SCR"
Erweiterung Trick,
manchmal mit RAR gepackt
Wasserloch Angriffe mit Hilfe von Java-Exploits (CVE-2012 bis 1723),
Flash-Exploits (unbekannt) oder
Internet Explorer 6,7,8 nutzt (unbekannt)
Wasserloch Angriffe, die auf Social-Engineering angewiesen, um den Benutzer in
Lauf gefälschte Trick "Flash-
Player "Malware-Installateure
Die Angreifer verwenden sowohl direkte spearphishing und Wasserloch-Attacken, um
ihre Opfer zu infizieren.
Wasserstellen (Wasserlöcher) sind Websites von Interesse für die Opfer, die
kompromittiert worden
von den Angreifern und injiziert, um bösartigen Code zu dienen.
Seite 3
Bisher haben wir nicht in der Lage, jede E-Mail gegen die Opfer, nur die Anlagen
verwendet zu lokalisieren.
Die PDF-Anhänge keine "Köder", um dem Opfer zu zeigen, wenn sie geöffnet, aber
der SCR
Pakete irgendwann zeigen eine saubere PDF nach erfolgreicher Installation.
Einige der bekannten Namen in den Anhang spearphishing Angriffe verwendet
werden, sind:
. فينج رمتؤ rar (Übersetzung aus dem Arabischen: "Genf conference.rar")
NATO Position auf Syria.scr
Note_№107-41D.pdf
Reden Points.scr
border_security_protocol.rar
Sicherheits protocol.scr
Program.scr
In einigen Fällen können diese Dateinamen Hinweise auf die Art der Opfer sind
die Angreifer bieten
Targeting.
Die Wasserloch-Angriffe
Derzeit laufen die epische Angreifer ein riesiges Netz von Wasserstellen, die
Besucher mit chirurgischen Ziel
Präzision.
Einige der Websites injiziert gehören:
Seite 4
Die Website der City Hall von Pinor, Spanien
Eine Website zur Förderung des Unternehmertums im Grenzgebiet von Rumänien
Seite 5
Palästinensische Autonomiebehörde Ministerium für auswärtige Angelegenheiten
Insgesamt beobachteten wir mehr als 100 eingespritzt Websites. Derzeit sind die
meisten der injizierten
Seiten ist in Rumänien.
Hier ist eine Statistik auf den Internetseiten eingespritzt:
Seite 6
Die Verteilung ist natürlich nicht zufällig, und es einige der Interessen der
Angreifer reflektiert. Für
Beispiel Rumänien viele der infizierten Stellen sind im Bereich Esch, während
viele der
Spanisch infizierten Websites gehören zu den lokalen Regierungen (Rathaus).
Die meisten der infizierten Websites verwenden das TYPO3 CMS
(siehe: http://typo3.org/ ), Die das anzeigen könnte
Angreifer missbrauchen gezielt eine Schwachstelle in diesem
Publishing-Plattform.
Injiziert Webseiten laden ein Fern JavaScript in dem Browser des Opfers:
Seite 7
Das Skript "sitenavigatoin.js" ist ein Pinlady-Stil-Browser und Plugin-Erkennung
Skript, die wiederum,
leitet zu einem PHP-Skript manchmal main.php oder wreq.php. Manchmal, die
Angreifer
registrieren .JPG Erweiterung mit dem PHP-Handler auf dem Server, mit "JPG"
Dateien auf PHP laufen
Scripts:
Profiling-Skript
Der Haupt Ausbeutung Skript "wreq.php", "main.php" oder "main.jpg" führt eine
Anzahl von Aufgaben.
Wir haben mehrere Versionen dieses Skript, das verschiedene Mechanismen
Ausbeutung versuchen entfernt.
Eine Version dieses Skript versucht, Internet Explorer-Versionen 6, 7 und 8 zu
nutzen:
Seite 8
Internet Explorer Ausbeutung Skript
Leider haben die Internet Explorer-Exploits noch nicht abgerufen wurden.
Eine weitere neuere Version versucht, Oracle Sun Java und Adobe Flash Player
nutzen:
Java und Flash Player Ausbeutung Skripte
Obwohl die Flash Player-Exploits nicht abgerufen werden konnte, haben wir es
schaffen, die Java zu erhalten
Exploits:
Name |
MD5 |
alljhtmll |
536eca0defc14eff0a38b64c74e03c79 |
allj.jar |
f41077c4734ef27dec41c89223136cf8 |
allj64htmll |
15060a4b998d8e288589d31ccd230f86 |
allj64.jar |
e481f5ea90d684e5986e70e6338539b4 |
lstj.jar |
21cbc17b28126b88b954b3b123958b46 |
lstjhtmll |
acae4a875cd160c015adfdea57bd62c4 |
Name
MD5
alljhtmll
536eca0defc14eff0a38b64c74e03c79
allj.jar
f41077c4734ef27dec41c89223136cf8
allj64htmll
15060a4b998d8e288589d31ccd230f86
allj64.jar
e481f5ea90d684e5986e70e6338539b4
lstj.jar
21cbc17b28126b88b954b3b123958b46
lstjhtmll
acae4a875cd160c015adfdea57bd62c4
Die Java-Dateien nutzen eine Sicherheitslücke beliebt, CVE-2012-1723 , In
verschiedenen Konfigurationen.
Die Nutzlast von diesen Java-Exploits gesunken ist die folgende:
Seite 9
MD5: d7ca9cf72753df7392bfeea834bcf992
Die Java-Exploit verwenden eine spezielle Loader, um die endgültige epischen
Hintertür Nutzlast in injizieren versucht
explorer.exe. Die von der Java-Exploits extrahiert Hintertür hat die folgende C
& C hartcodiert
innen:
www.arshinmalalan [.] com / themes / v6 / templates / css / in.php
Das C & C ist immer noch online im Moment, obwohl es leitet auf eine Seite bei
derzeit ausgesetzt
"Hxxp: [.] //busandcoachdirectory.com Au". Für eine vollständige Liste der C &
C-Servern finden Sie in der
Anhang.
Die epische Turla Angreifer sind extrem dynamisch mit Exploits oder verschiedene
Methoden je
auf das, was ist im Moment. Zuletzt, sie beobachteten wir mit noch einer anderen
Technik
gekoppelt mit Wasserloch Attacken. Dies nutzt Social Engineering, um den
Benutzer zu betrügen
in Ausführung eines gefälschten Flash Player (MD5:
030f5fdb78bfc1ce7b459d3cc2cf1877):
In mindestens einem Fall, versuchten sie, den Benutzer in das Herunterladen und
Ausführen eines gefälschten Microsoft Trick
Security Essentials App (MD5: 89b0f1a3a667e5cd43f5670e12dba411):
Seite 10
Die gefälschte Anwendung wird durch ein gültiges digitales Zertifikat von
Sysprint AG unterzeichnet:
00 c0 a3 9e 33 EG 8b ea 47 72 de 4b dc b7 49 bb 95
24 21 58 64 28 97 f1 2b 26 22 17 62 82 ee 2d 46 07 99 ca 46
Gültige Signatur von Sysprint AG Epic Tropf
Diese Datei wurde aus dem Ministerium für Auswärtige Angelegenheiten der
tadschikischen Website verteilt,
"Hxxp: [.] // Mfa tj / upload / security.php".
Die Datei ist eine NET-Anwendung, die ein verschlüsseltes Ressource
enthält. Dies lässt den schädliche Dateien
mit der MD5 7731d42b043865559258464fe1c98513.
Seite 11
Dies ist eine epische Hintertür, die der folgenden C & Cs verbindet, mit einer
generischen interne ID
1156fd22-3443-4344-c4ffff:
hxxp: [.] // homaxcompany com / components / com_sitemap /
hxxp: [.] //www.hadilotfi com / wp-content / themes / profile /
Eine vollständige Liste mit allen C & C-Server-URLs, die wir aus den Proben
gewonnen wurde, kann in der gefunden werden
technischen Anhang.
Die Epic-Command-and-Control-Infrastruktur
Die epische Hintertüren werden durch ein riesiges Netzwerk von Servern gehackt
geboten, dass
liefern Kommando und Kontrolle Funktionalität.
Das riesige Netzwerk von den epischen Turla Angreifer geboten dient mehreren
Zwecken. Für
So funktionieren die Mutterschiffe als Ausbeutung beiden Standorten und
Führungsplatten für
die Malware.
Hier ist, wie das große Bild sieht so aus:
Seite 12
Epischen Turla Lebenszyklus
Die erste Ebene der Steuerung und Kontrolle Proxys in der Regel sprechen auf ein
zweites Niveau von Vollmachten, die in
drehen, sprechen Sie mit dem "Mutterschiff"-Server. Das Mutterschiff ist im
Allgemeinen ein Server VPS, das der läuft
Control Panel-Software verwendet werden, um mit den Opfern zu interagieren. Die
Angreifer bedienen das Mutter
mit einem Netz von Proxies und VPN-Server für Anonymität Gründen. Das
Mutterschiff auch als arbeiten
die Ausbeutung Server in den Wasserloch Angriffe verwendet wird, liefert Java,
IE oder gefälschte Anwendungen
zum Opfer.
Wir waren in der Lage, eine Kopie von einem der Mutterschiffe, die einen
Einblick in die vorgesehenen bekommen
Betrieb.
Es läuft ein Bedienfeld, das Passwort geschützt ist:
Seite 13
Epischen Mutter Bedienfeld Login
Einmal in der Systemsteuerung angemeldet sind, können die Angreifer einen
allgemeinen Überblick über das System zu sehen
einschließlich der Anzahl der interessante potenzielle Ziele:
Epischen Bedienfeld Statusübersicht
Eine sehr interessante Datei auf den Servern ist task.css, wo die Angreifer die
IP-Bereiche definieren sie
interessiert sind. Um die Datei zu ändern, sie verwenden die "Task-Editor" aus
dem Menü. Abhängig
auf den "Aufgaben", werden sie entscheiden, ob die Besucher zu infizieren oder
nicht. In diesem Fall haben wir sie
gezielte zwei Bereiche zu gehören:
"Land A" - Bundesregierung Netzwerk
"Land B" - der Regierung Telekommunikation und Informatik Services Network
Es sollte jedoch darauf hingewiesen werden, die Tatsache, dass die Angreifer
diese Bereiche gezielt nicht
unbedingt bedeuten, dass sie auch infiziert wurde. Einige andere unbekannte IPs
wurden auch die beobachtete
Zielpläne.
Es gibt auch eine Datei "except.css", wo die Gründe Angreifer loggen sie nicht
versuchen, nutzen bestimmte
Besucher. Es gibt drei mögliche Werte:
Seite 14
TRY
VERSUCHEN SIE NICHT -> Version des Browsers und Betriebssystem nicht die
Voraussetzungen erfüllen
VERSUCHEN SIE NICHT -> (2012-09-19 10.02.04) - checktime
Dies sind die in den Protokollen beobachtet "die Bedingungen nicht erfüllen"
Gründen:
Windows 7 oder 2008 R2
MSIE 8.0
Mozilla / 4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident / 4.0;
SLCC2; NET CLR
2.0.50727; NET CLR 3.5.30729; NET CLR 3.0.30729; NET CLR 1.1.4322; .NET4.0C;
.NET4.0E)
Adobe Shockwave 11.5.1.601
Adobe Flash 10.3.181.14
Adobe Reader 10.1.0.0
Win Media Player 12.0.7601.17514
Quick Time null
MS Word null
Java null
Die Epic / Tavdig / Wipbot Hintertür
Für diese erste Phase des Angriffs, verwendet die Bedrohung Schauspieler eine
benutzerdefinierte Hintertür. In einigen Fällen kann die
Hintertür wird zusammen mit der CVE-2013-5065 EoP verpackt nutzen und stark
verschleiert. Dies
ist die Analyse schwieriger.
Der CVE-2013-5065 nutzen können, die Hintertür zu Administratorrechte auf dem zu
erzielen
System und uneingeschränkt ausführen. Dieser Exploit funktioniert nur auf
ungepatchte Microsoft Windows XP
Systemen.
Andere bekannte Namen für die Erkennung Backdoor ist Trojan.Wipbot (Symantec)
oder Tavdig.
Der Haupthintertür ist etwa 60 KB groß und implementiert eine C & C-Protokoll
zusätzlich zur normalen HTTP
Anfragen. Die Kommunikationsprotokoll verwendet
Anfragen in den C & C-Antworten, die in
die Malware entschlüsselt und Prozesse. Die Antworten werden an den C & C durch
die gleiche gesendet
Kanal.
Das Malware-Verhalten wird durch eine Konfigurationsblock definiert. Der
Konfigurationsblock in der Regel
enthält zwei hartcodierte C & C-URLs. Er habe auch einen Fall gesehen, wo die
Konfigurationsblock
enthält nur eine URL. Die Konfiguration kann auch im laufenden Betrieb von den
Angreifern aktualisiert werden, über die
C & C.
Die Hintertür versucht, die folgenden Prozesse zu identifizieren und, wenn
gefunden, wird es sich selbst zu beenden:
tcpdump.exe
windump.exe
ethereal.exe
wireshark.exe
ettercap.exe
snoop.exe
dsniff.exe
Es enthält eine interne eindeutige ID, die verwendet wird, um die Opfer der C &
C identifizieren. Die meisten Proben,
vor allem die alten, haben die ID-1156fd22-3443-4344 c4ffff. Sobald ein Opfer
als bestätigt
Seite 15
"Interessant", die Angreifer laden andere epische Hintertür, die eine eindeutige
ID zur Steuerung hat
Diese spezifische Opfer.
Während der ersten C & C-Aufruf sendet der Hintertür eine Packung mit
Systeminformationen des Opfers. Alle
Weitere Informationen zum C & C gesendet wird mit einem öffentlichen Schlüssel
verschlüsselt Rahmen, so dass die Entschlüsselung
unmöglich. Die Befehle von der C & C sind in einer einfacheren Art und Weise
verschlüsselt werden kann
entschlüsselt, wenn abgefangen, weil der geheime Schlüssel in der
Malware-hartcodiert.
Durch Überwachung, waren wir in der Lage, eine große Menge von Befehlen für die
Opfer gesendet von Capture
die Angreifer und bietet einen einzigartigen Einblick in diesen Vorgang. Hier
ist ein Blick auf eine der verschlüsselten
Server Antworten:
Sobald ein Opfer infiziert ist und "Kontrollen" mit dem Server, die Angreifer zu
senden eine Vorlage von
Befehle:
Seite 16
Als nächstes versuchen die Angreifer, um durch das Netz des Opfers mit
vordefinierten oder gesammelt bewegen
Passwörter:
Auflistung aller DOC-Dateien rekursiv ist auch ein gemeinsames "Thema":
Insgesamt haben wir mehrere Hunderte dieser Befehl Pakete für die Opfer
geliefert decodiert,
Bereitstellung einer einzigartigen Einblick in das Innenleben der Angreifer.
Neben den generischen Suchanfragen, haben einige sehr spezifische Suchvorgänge
wurden ebenfalls beobachtet. Diese
schließen Suchen:
* NATO * .msg
EU-Energiedialog *. *
EU * .msg
Budapest * .msg
Seite 17
In diesem Fall waren die Angreifer interessiert, um E-Mails zu "NATO" Es finden
"Energiedialog
innerhalb der europäischen Union "und so weiter.
Für einige der C & C-Servern, die Angreifer implementiert RSA-Verschlüsselung
für die C & C-Protokolle, die
macht es unmöglich, sie zu entschlüsseln. Diese Regelung wurde im April 2014
eingerichtet.
Seitliche Bewegung und ein Upgrade auf mehr
anspruchsvolle Hintertüren
Sobald ein Opfer beeinträchtigt wird, die Angreifer laden mehrere Tools, die für
die seitliche verwendet werden
Bewegung.
Eine solche in den Angriffen beobachtet und als "C gespeichert Werkzeug: \
Dokumente und Einstellungen \ All
Users \ Startmenü \ Programme \ Autostart \ winsvclg.exe "ist:
Name: winsvclg.exe
|
Name: winrs.exe
|
Size: 275,968 bytes
|
Size: 218,112 bytes
|
Decoded Konfiguration für e9580b6b13822090db018c320e80865f
Hinweis: [.] Den Befehl und Kontrollserver www.losguayaberos com und
thebesttothbrushes [.] com wurden von Kaspersky Lab sinkholed worden.
Andere Pakete mit den Opfern geliefert sind:
MD5: c7617251d523f3bc4189d53df1985ca9
|
MD5: cb1b68d9971c2353c2d6a8119c49b51f
|
MD5 |
Resource number |
4c1017de62ea4788c7c8058a8f825a2d |
101 |
43e896ede6fe025ee90f7f27c6d376a4 |
102 |
e6d1dcc6c2601e592f2b03f35b06fa8f |
104 |
554450c1ecb925693fedbb9e56702646 |
105 |
df230db9bddf200b24d8744ad84d80e8 |
161 |
91a5594343b47462ebd6266a9c40abbe |
162 |
244505129d96be57134cb00f27d4359c |
164 |
4ae7e6011b550372d2a73ab3b4d67096 |
165 |
MD5
Ressourcennummer
4c1017de62ea4788c7c8058a8f825a2d
101
43e896ede6fe025ee90f7f27c6d376a4
102
e6d1dcc6c2601e592f2b03f35b06fa8f
104
554450c1ecb925693fedbb9e56702646
105
df230db9bddf200b24d8744ad84d80e8
161
91a5594343b47462ebd6266a9c40abbe
162
244505129d96be57134cb00f27d4359c
164
4ae7e6011b550372d2a73ab3b4d67096
165
Der Carbon-System ist im Wesentlichen eine erweiterbare Plattform, sehr ähnlich
zu anderen Plattformen Angriff
wie die Tilded Plattform oder die Flamme-Plattform . Die Plugins für die
Carbon-System sein kann
leicht zu erkennen, wie sie immer sind mit mindestens zwei Exporte benannt:
ModuleStart
ModuleStop
Kohlenstoff-System-Plugin mit charakteristischen Exporte
Mehrere epischen Hintertüren, um so konzipiert, dass als
Kohlenstoff-System-Plugins arbeiten als auch zu haben scheinen
- Sie benötigen eine spezielle Lade zum Opfer Systeme, die nicht über die
Carbon-System starten in
Einsatz.
Einige Module haben Artefakte, die die Carbon-System ist bereits in der Version
3.x zeigen,
Obwohl die genaue Carbon-System-Version ist sehr selten in den Proben gesehen:
Seite 20
Der Autor des Carbon-Modul kann auch über den Code zu erkennen ist, als "gilg",
die auch
verfasste mehrere andere Turla Modulen.
Wir planen, die Turla Carbon-System mit mehr Details in einem künftigen Bericht
zu decken.
Seite 21
Sprache Artefakte
Die Nutzlast von einer der Mutter Servern gewonnen (bei
newsforum.servehttp com / wordpress / wp-includes / css / img /
upload.php, MD5 [.]:
4dc22c1695d1f275c3b6e503a1b171f5, Zusammengestellt: Do 6. September 14.09.55
2012) enthält zwei
Module, ein Lader / Injektor und eine Hintertür. Intern wird die Hintertür mit
dem Namen "Zagruzchik.dll":
Das Wort "Zagruzchik" bedeutet "Bootloader" auf Russisch.
Das Bedienfeld für die epische Muttersprache setzt auch die Codepage "1251":
Codepage 1251 wird häufig verwendet, um kyrillische Zeichen zu machen.
Es gibt andere Hinweise darauf, dass die Angreifer nicht Englisch als
Muttersprache sprechen:
Kennwort seine falsch!
Graf erfolgreich mehr MAX
Die Datei ist nicht vorhanden
Datei existiert bearbeiten
Seite 22
Die Probe wurde e9580b6b13822090db018c320e80865f, dass mehrere Opfer als Epos
geliefert
eine verbesserte Hintertür, hat die Zusammenstellung Codepage Sprache
"LANG_RUSSIAN" gesetzt.
Die Bedrohung Schauspieler hinter dem "Epos" Operation verwendet hauptsächlich
gehackten Servern auf ihre Vertreter zu hosten.
Die Server gehackt werden durch den Einsatz eines PHP-Webshell gesteuert. Diese
Hülle ist passwort
geschützt; das Passwort gegen ein MD5-Hash überprüft:
Die MD5 "af3e8be26c63c4dd066935629cf9bac8" wurde von Kaspersky Lab als die
gelöst
Passwort "Kenpachi". In Februar 2014 beobachteten wir die Miniduke Bedrohung
Schauspieler mit dem gleichen
Hintertür auf ihren Servern gehackt, wenn auch mit einem viel stärkeren
Passwort.
Wiederum ist es auch interessant, in dem Webshell, weisen auf die Verwendung von
Codepage 1251 die
wird verwendet, um kyrillische Zeichen zu machen.
Es scheint mehrere Verbindungen zwischen Turla und Miniduke sein, aber wir tun
das für eine Zukunft verlassen
Blogpost.
Opfer-Statistiken
Seite 23
Auf einige der in der epischen Angriffe verwendet C & C-Server, wir waren in der
Lage, detaillierte Opfer identifizieren
Statistiken, die für die Fehlersuche von den Angreifern gespeichert wurden.
Dies ist das Land für den Vertrieb der Top-20-Ländern, die von den betroffenen
IP-Opfers:
Laut der Information der Öffentlichkeit für die Opfer 'IPs zur Verfügung, Ziele
von "Epos" gehören zu den
folgenden Kategorien:
Seite 24
Regierung
o
Ministerium des Innern (EU-Land)
o
Ministerium für Handel und Gewerbe (EU-Land)
o
Ministerium für Auswärtige / äußeren Angelegenheiten (asiatische Land, EU-Land)
o
Intelligenz (Middle East, EU-Land)
Botschaften
Militär (EU-Land)
Bildung
Forschung (Middle East)
Pharmaunternehmen
Unbekannt (unmöglich, basierend auf IP / vorhandenen Daten zu bestimmen)
Zusammenfassung
Wenn G-Data veröffentlichten ihre Turla Papier, gab es nur wenige Details, wie
öffentlich verfügbar
Opfer gehen mit dieser Malware-Kampagne infiziert. Unsere Analyse zeigt, das ist
eine anspruchsvolle
Mehrstufen-Infektion; das beginnt mit Epic Turla. Diese wird verwendet, um Fuß
zu fassen und zu validieren
die hochkarätige Opfer. Wenn das Opfer ist interessant, werden sie auf die Turla
Carbon-System aufgewertet.
Zuletzt beobachteten wir diesen Angriff gegen eine Kaspersky-Lab-Benutzer am 5.
August 2014
die den Betrieb frisch bleibt und nicht abgeschlossen.
Hinweis: Eine vollständige Analyse der EPIC-Angriffen steht den Kaspersky
Intelligent Services
Kunden. Kontakt: intelreports@kaspersky.com
Wir würden gerne die folgenden am Ende des Blogpost hinzufügen, kurz vor der
Nachweis Namen:
Weiterführende Literatur
Wenn Sie möchten, um mehr über Turla / Uroburos lesen, hier ein paar
Empfehlungen:
G-Data Papier "Hochkomplexe Uroburos Spionage-Software mit russischen Wurzeln"
BAE Systems Analyse von "The Snake Kampagne"
"Uroburos: die Schlange Rootkit" , Die technische Analyse von deresz und Tecamac
"TR-25-Analyse - Turla / pfinet / Schlange / Uroburos" von CIRCL.LU
Kaspersky Produkte Erkennung Namen für alle in diesem Beitrag beschriebenen
Malware-Samples:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR: Exploit.Java.CVE-2012-1723.gen
HEUR: Exploit.Java.CVE-2012-4681.gen
HEUR: Exploit.Java.Generic
HEUR: Exploit.Script.Generic
HEUR: Trojan.Script.Generic
Seite 25
HEUR: Trojan.Win32.Epiccosplay.gen
HEUR: Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
TrojanhtmlL.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
https://securelist.com/analysis/publications/65545/the-Epos-Turla-operation/