Lumen 公司黑莲花实验室 (Black Lotus Labs) 发布报告指出，臭名昭著的俄罗斯网络间谍组织 Turla 正在攻击其它黑客组织，劫持巴基斯坦网络威胁组织 Storm-0156的基础设施，在已遭攻陷的网络上发动隐秘攻击。

Turla（即 “秘密暴雪”）组织访问了 Storm-0156此前攻陷的网络如阿富汗和印度政府组织机构网络，之后部署自己的恶意软件工具。黑莲花实验室从2023年1月开始在微软威胁情报团队的帮助下追踪该攻击活动，发现攻击从2022年12月就开始了。

Turla 是与俄罗斯联邦安全局 (FSB) 16中心之间存在关联的俄罗斯国家黑客组织，而该中心被指负责拦截、解码并收集外国目标的数据。这些威胁组织长久以来，至少从1996年开始，就对遍布全球的政府、组织机构和研究机构发动攻击。它们被指攻击美国中央司令部、五角大楼和美国国家航空和航天局、东欧地区多国外交部以及芬兰外交部等。最近，五眼联盟宣布破坏了 Turla 的 “Snake” 网络间谍恶意软件僵尸网络，而该僵尸网络用于攻陷设备、窃取数据和隐藏在受陷网络中。

攻陷Storm-0156，秘密窃取数据

Lumen 公司多年来都在监控 Storm-0156组织的活动，它主要的攻击目标是印度和阿富汗。

在这次监控活动中，研究人员发现了一个显示着 “hak5 Cloud C2” 横幅的命令和控制服务器 (C2)。该C2 表明这些威胁行动者能够在印度政府网络中安装物理植入如 WiFi Pineapple。在监控更多的攻击活动时，Lumen 公司通过观察到的奇怪的网络行为，发现了位于 Storm-0156 网络中的 Turla 组织，这些奇怪行为包括C2与和俄罗斯黑客相关联的三个VPS IP 地址进行交互。

研究人员因此发现，在2022年年末，Turla 组织已经攻陷了 Storm-0156 威胁组织的多个C2节点并部署了自己的恶意软件 payload 如一个 TinyTurla 后门变体 TwoDash 后门、Statuezy 剪贴板监控器以及 MiniPocket 下载器。

除了与 Turla 相关联的恶意软件家族外，Lumen 公司还发现了与巴基斯坦威胁者此前技术不同的信号模式和数据传输。微软提到，这一访问主要用于在阿富汗政府实体上部署后门，包括外交部、情报总局 (GDI) 以及阿富汗政府外国领事馆。

Turla 组织并未止步于 Storm-0156的C2服务器及其已经受陷的目标，而是更进一步，对巴基斯坦威胁组织发动攻击。到2023年年中，Turla 组织已经横向移动到Storm-0156自己的工作站，获得对有价值数据的访问权限如恶意软件工具和被盗凭据和数据。这些恶意软件工具包括 Storm-0156的 CrimsonRAT 恶意软件以及基于Go的远程访问木马 Wainscot。Lumen公司指出，这种活动很容易在威胁者环境中执行，因为国家组织无法通过最新的安全工具保护自身。

Lumen 公司提到，“我们认为，国家和网络犯罪端点和恶意软件尤其易遭利用，因为他们无法使用现代安全栈监控访问并防御利用。当威胁行动者安装了安全产品时，会导致此前的未知的利用和工具遭泄露。”

微软报道称，Turla 仅有一次使用 Storm-0156 后门在印度的一个桌面上部署恶意软件。该黑客组织在Storm-0156服务器上部署后门，托管着巴基斯坦黑客组织从印度军队和国防相关机构盗取的数据。微软认为这种更加严密的方式可能与政治因素有关。

Lumen 公司提到，目前正在通过 Lumen 网络将未知C2基础设施上的所有流量进行空路由。

Turla：黑客的黑客

Turla 组织利用其它黑客组织基础设施的行为可使其秘密收集情报而不必暴露自身或其工具集，摆脱被指责并加大归因的复杂度。

俄罗斯黑客组织从2019年开始就开始利用这一策略。2019年，它们利用伊朗国家黑客组织 OilRig 的基础设施和恶意软件对多个国家发起攻击。同时，Turla 从OilRig 系统中窃取数据，包括键盘记录器日记、目录列表、文件、账号凭据以及恶意软件构建器，为私密工具如 Neuron 服务。

2022年，Mandiant 公司报道称，Turla 在重新注册了三个C2域名后，向位于乌克兰的 “Andromeda” 恶意软件受害者部署后门。2023年，卡巴斯基报道称，Turla 在攻击中利用了盗自 “Storm-0473”（即 “Tomiris”）的一个后门。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~