Turlaバックドア

Turla APT（Advanced Persistent Threat）は、悪名高いロシアのハッキンググループであり、10年以上にわたって活動しています。それらは、ウロボロスAPTまたはスネークAPTとも呼ばれます。彼らはハイエンドの犠牲者を好むことで知られています。 Turla APTがドイツの連邦行政大学に侵入し、それを通じて、なんとか国の連邦外務省を侵害したと報告されました。さらに、これは1回限りの侵入ではありませんでした。 Turla APTは、2017年のほぼ全体にわたってドイツ当局の監視下に置かれたことが明らかになっています。この間、ハッキンググループは政府のデータを吸い上げて収集していました。この印象的な操作は、TurlaBackdoorと呼ばれるAPTのツールを使用して実行されました。

ヨーロッパの3か国が、このロシアのハッキンググループからの攻撃を報告しています。ターゲットは再び彼らの外国のオフィスでした。 Turla APTの主な標的は常に外交官、軍および州当局、政治家であったため、TurlaAPTがスパイ活動に深く関与していると考えるのは安全です。 Turla APTはロシア政府にリンクされている可能性があると思われますが、この情報はまだ確認されていません。

Turla APTのバックドアは、2009年に発生したと考えられています。ただし、ハッキンググループは何年にもわたってアイドル状態ではなく、電子メールに添付されたPDFファイルを介してコマンドを受信する脅威の機能など、バックドアに多くの改善をもたらしました。 、2016年に導入されました。2018年にTurla APTのバックドアに新機能が追加され、感染したホストでPowerShellコマンドを実行できるようにアップグレードされました。

このバックドアのこの最新バージョンには、MicrosoftOutlookに侵入する機能が備わっています。興味深いことに、Turla APTはアプリケーションの脆弱性を使用しませんが、代わりにMicrosoft Outlookの正当なMAPI（メッセージングアプリケーションプログラミングインターフェイス）を操作し、それを介して目的のターゲットのダイレクトメッセージにアクセスします。通常、加害者のコマンドおよび制御サーバーを介してコマンドを受信するほとんどのバックドアとは異なり、Turla APTが2016年に導入した改善のおかげで、Turlaバックドアは特別に細工された電子メールによって制御されます。データを収集し、さまざまなファイルをダウンロードして実行しています。このバックドアは、植え付け場所に関してはそれほど厄介ではありません。TurlaバックドアはDLLモジュール（ダイナミックリンクライブラリ）の形式であり、ハードドライブ内のどこからでも実行できます。さらに、Turla APTは、Windowsユーティリティ（RegSvr32.exe）を使用して、ターゲットシステムにバックドアをインストールします。

もちろん、この口径のすべての非常に効率的な脅威として、Turlaバックドアも優れた持続性を備えています。検出される可能性を最小限に抑えるために、TurlaBackdoorは常にその「義務」を実行するわけではありません。代わりに、コンポーネントオブジェクトモデル（COM）に関してよく知られているWindowsの脆弱性を使用します。この脆弱性を悪用することにより、バックドアは正当な「outlook.exe」プロセスにインスタンスを挿入できるため、DLLを使用する必要がなくなります。インジェクション–アンチウイルス製品が簡単に検出する攻撃ベクトル。

Turla Backdoorは、Microsoft Outlookに侵入することで、被害者のメッセージングアクティビティに関するメタデータ（電子メールの件名、添付ファイルの名前、送信者と受信者）を収集できます。このデータはTurlaBackdoorによって収集および保存され、攻撃者のサーバーに定期的に転送されます。 Turla Backdoorのような脅威は、特に攻撃者が機密データや通信を保存するために使用されるシステムに感染し、Turla APTがこれらのユーザーを正確に標的にしていることが明らかな場合、多くの損害を引き起こす可能性があります。

データの盗難とは別に、マルウェアは追加のファイルをダウンロードしたり、破損したPowerShellスクリプトを実行したりするように命令される可能性があります。結論として、Turla Backdoorは、その機能においてルートキットに近い脅威です。