Le groupe russe Turla a mis à jour ses logiciels malveillants

Le groupe APT(Advanced Persistant Threat) russe connue sous le nom de Turla cible les organisations gouvernementales à l’aide de logiciels malveillants personnalisés, y compris un trio de malware mis à jour qui donne au groupe la persistance grâce à un accès par porte dérobée.

Turla (alias Ouroboros, Snake, Venomous Bear ou Waterbug) est un groupe de cyber-espionnage qui existe depuis plus d’une décennie. Il est connu pour sa collection complexe de logiciels malveillants et ses implémentations intéressantes de commande et de contrôle (C2). Il s’attaque à des cibles gouvernementales, militaires et diplomatiques.

Les chercheurs d’Accenture ont observé une récente campagne contre un gouvernement Européen qui s’est déroulée entre Juin et Octobre, qui comportait trois logiciels malveillant, tous avec des mises à jour importantes. Ils ont travaillé ensemble comme une sorte de boîte à outils de menaces à plusieurs niveaux.

apt

L’un des outils mis à jour est la porte dérobée basée sur l’appel de procédure à distance HyperStack (nommée d’après le nom de fichier que ses auteurs lui ont donné). Accenture l’a lié au groupe pour la première fois, grâce à son utilisation aux côtés des deux autres outils vus dans la campagne: les chevaux de Troie à accès à distance (RAT) de deuxième étage connus de Turla qui se nomment Kazuar et Carbon.

«Les RAT transmettent les résultats de l’exécution des commandes et exfiltrent les données du réseau de la victime, tandis que les portes dérobées basées sur RPC [y compris HyperStack] utilisent le protocole RPC pour effectuer des mouvements latéraux et émettre et recevoir des commandes sur d’autres machines du réseau local», selon une analyse d’Accenture, publiée la semaine dernière. «Ces outils comprennent souvent plusieurs couches de techniques d’obscurcissement et d’évasion de défense.»

Les mises à niveau observées dans la campagne tournaient en grande partie autour de la création de redondances intégrées pour la communication à distance. Turla a utilisé des configurations de commande et contrôle(C2) disparates, pour permettre différents points d’entrée si l’un d’entre eux était bloqué.

«[Celles-ci comprenaient] de nouvelles configurations [C2] pour le Carbon et Kazuar de Turla sur le même réseau victime», selon l’analyse. «La configuration des instances Kazuar variait entre l’utilisation de nœuds C2 externes hors du réseau victime et de nœuds internes sur le réseau affecté, et l’instance Carbon avait été mise à jour pour inclure un projet Pastebin pour recevoir des tâches chiffrées parallèlement à son infrastructure HTTP C2 traditionnelle.»

La porte dérobée HyperStack de Turla

La porte dérobée HyperStack a vu le jour en 2018, mais elle a reçu une mise à jour majeure en Septembre qui a permis aux chercheurs d’Accenture de la rattacher au groupe Turla.

«La fonctionnalité de mise à jour… semble s’inspirer des portes dérobées RPC précédemment rendues publiques par les chercheurs d’ESET et de Symantec, ainsi que de la porte dérobée Carbon», ont-ils expliqué. «En se basant sur ces similitudes, nous évaluons avec une grande confiance que HyperStack est une porte dérobée personnalisée de Turla.»

turla

La nouvelle version d’HyperStack utilise des canaux nommés pour exécuter des appels RPC d’un contrôleur vers un appareil hébergeant le client HyperStack. Il exploite IPC$, qui est une fonction de partage qui facilite la communication inter-processus (IPC) en exposant des canaux nommés pour écrire ou lire.

«Pour se déplacer latéralement, l’implant tente de se connecter au partage IPC$ d’un autre appareil distant, soit en utilisant une session nulle ou des informations d’identification par défaut», ont expliqué les chercheurs d’Accenture. «Si la connexion de l’implant à l’IPC$ est réussie, l’implant peut transmettre les commandes RPC du contrôleur au dispositif distant et a probablement la capacité de se copier sur le dispositif distant.»

Les mises à jour de Kazuar

Pendant ce temps, un échantillon de Kazuar utilisé dans la campagne européenne observée qu’Accenture a analysée à la mi-septembre a été configuré pour recevoir des commandes via des identificateurs de ressources uniformes (URI). Celles-ci indiquaient des nœuds C2 internes dans le réseau du gouvernement victime.

Cette configuration de Kazuar a agi à côté d’un autre échantillon, analysé début octobre.

“En se basant sur les références au nœud C2 interne, l’échantillon d’octobre agit probablement comme un agent de transfert utilisé pour transmettre les commandes des opérateurs distants du groupe Turla aux instances Kazuar sur les nœuds internes du réseau, via un emplacement réseau partagé et accessible sur Internet”, selon Accenture. «Cette configuration permet aux opérateurs Turla de communiquer avec les machines infectées par Kazuar dans le réseau victime et qui ne sont pas accessibles à distance.»

Un autre échantillon de Kazuar trouvé sur le réseau victime a été configuré pour communiquer directement avec un serveur C2 situé en dehors du réseau victime, hébergé sur un site Web légitime compromis. Cela a été utilisé par Turla pour envoyer des commandes et exfiltrer les données vers l’infrastructure backend de Turla, ont déclaré les chercheurs.

Kazuar est un cheval de Troie multiplateforme découvert en 2017 qui permet à Turla de charger à distance des plugins supplémentaires pour augmenter ses capacités. Il les expose via une interface de programmation d’application (API) à un serveur Web intégré, et il a une lignée de code qui peut remonter au moins à 2005, ont déclaré des chercheurs. On a cru pendant un certain temps qu’elle était le successeur de Carbon.

Les mises à jour de Carbon

L’outil Carbon a également été mis à jour pour la campagne observée. Carbon est un framework modulaire de porte dérobée doté de capacités peer-to-peer avancées que Turla utilise depuis plusieurs années, bien avant que Kazuar n’entre en scène.

En Juin, un échantillon mis à jour a fait son apparition, combinant l’infrastructure C2 appartenant à Turla avec des tâches servies depuis Pastebin, ont découvert les chercheurs. Le programme d’installation de l’échantillon contenait un fichier de configuration avec des URL pour les serveurs Web compromis hébergeant un shell Web qui transmet les commandes et exfiltre les données du réseau victime comme prévu. Mais les chercheurs ont noté qu’il contenait également un paramètre étiqueté [RENDEZVOUS_POINT], avec une URL pour un projet Pastebin.

«Lors de l’accès à l’URL de Pastebin, un objet blob chiffré est téléchargé et nécessite une clé privée RSA correspondante du fichier de configuration», ont expliqué les chercheurs. «Le fichier de configuration analysé ne contenait pas la clé privée RSA et nous n’avons donc pas pu déchiffrer le contenu du lien Pastebin. Nous estimons que le blob déchiffré était probablement une tâche pour l’instance Carbon. »

L’utilisation d’un service Web légitime comme Pastebin pour les activités C2 est une tendance constante parmi les APT, ont noté les chercheurs, pour plusieurs raisons différentes.

«[D’une part], les services Web permettent au trafic réseau malveillant des groupes de cyberespionnage de se fondre facilement avec le trafic réseau légitime», selon les chercheurs. «De plus, les groupes APT peuvent facilement changer ou créer de nouvelles infrastructures, ce qui rend les choses difficiles pour les défenseurs de fermer ou de créer un sinkhole pour leur infrastructure. [Et], l’utilisation de services Web complique l’attribution, car l’infrastructure C2 n’appartient pas au groupe APT. »

Turla continuera probablement à utiliser ses outils hérités, avec des mises à niveau, pour compromettre et maintenir un accès à long terme à ses victimes, ont déclaré des chercheurs.

«Cette combinaison d’outils a bien servi Turla, car certaines de leurs portes dérobées actuelles utilisent un code qui remonte à 2005», ont noté les chercheurs d’Accenture. «Le groupe APT continuera probablement à maintenir et à compter sur cet écosystème, et ses itérations, tant que le groupe cible les réseaux Windows.»

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x