Turla, a well-known threat actor, targets its victims with Advanced Persistent Threats (APTs). Analyzing a sophisticated example of this malware with MetaDefender Aether gives us an in-depth understanding of the methodology used to dissect and understand these threats, which is essential for cybersecurity professionals aiming to defend against them.
Acest program malware este KopiLuwak, un instrument de recunoaștere bazat pe JavaScript, utilizat pe scară largă pentru crearea de profiluri ale victimelor și comunicarea C2. Tehnicile sale de ofuscare și designul relativ simplu al backdoor-ului îi permit să opereze discret și să se sustragă detectării.
Profilul actorului de amenințare
Turla, un grup de amenințare de spionaj cibernetic cu presupuse legături cu Serviciul Federal de Securitate al Rusiei (FSB), funcționează activ cel puțin din 2004. De-a lungul anilor, Turla a reușit să compromită cu succes victime din peste 50 de țări, infiltrându-se în diverse sectoare, cum ar fi cel guvernamental, ambasadele, armata, educația, cercetarea și companiile farmaceutice.
Grupul prezintă un modus operandi sofisticat, folosind adesea tactici precum utilizarea de găuri de apă și campanii de spear phishing. În ciuda notorietății sale, activitatea Turla a crescut în ultimii ani, subliniind rezistența și adaptabilitatea grupului în peisajul în continuă evoluție al amenințărilor cibernetice.
Prezentare generală a eșantionului
Eșantionul analizat este un document Microsoft Word care, la o primă examinare a conținutului său încorporat (de exemplu, cu oletools al lui Didier Steven), conține o varietate de artefacte suspecte, cum ar fi:
Macro cu cuvintele cheie AutoOpen și AutoClose, ceea ce indică o execuție VBA automată.
- "mailform.js" împreună cu "WScript.Shell", ceea ce indică faptul că JavaScript încorporat (JS) este prezent și va fi executat.
- Un obiect încorporat care pretinde a fi un fișier JPEG, incluzând un șir foarte lung de caractere suspecte (cod JS criptat).
Emulare multistrat
While at this point a manual analysis would require applying advanced decryption/code messaging (e.g. using Binary Refinery, reformatting code for readability, or renaming variables for clarity), we can count on the advanced emulation sandbox technology in MetaDefender Aether to do all these steps for us automatically.
Să trecem la fila "Emulation Data" din partea stângă a raportului:
Dacă ne uităm la unele dintre evenimentele din emulator, putem vedea în mod clar desfășurarea întregului lanț de atac:
Dar asta nu este tot: noul cod JS este, de asemenea, foarte ofuscat. Dacă ne uităm la evenimentul Shell, acesta a fost executat cu "NPEfpRZ4aqnh1YuGwQd0" ca parametru. Acest parametru este o cheie RC4 utilizată în următoarea iterație de decodare
In the following step, the mailform.js decodes the final JS payload stored as a long Base64 string. This string is Base64 decoded, then decrypted using RC4 with the key (mentioned above) passed as a parameter, and finally, executed using the eval() function. Note that this JS code is only in memory, but MetaDefender Aether will proceed with all remaining detection protocols.
Codul JS complet decriptat arată funcționalitatea malware-ului ca un backdoor de bază, capabil să execute comenzi de la un server C2 de la distanță. Ca o ultimă constatare, înainte de a se conecta la serverul C2, acesta construiește un profil al victimei, obține persistență și apoi exfiltrează date utilizând cereri HTTP către serverul C2.
Extracția IOC
Subpagina "Indicator of Compromise" (Indicator de compromis) reunește toate IOC extrase din orice etapă a analizei automatizate, afișând URL-urile C2 cheie sub "VBA emulation" (Emulație VBA) Origin:
Whenever we see a known malware family name as part of an AV label, YARA rule or detect it via e.g. a decoded configuration file, MetaDefender Aether automatically generates the appropriate tag and propagates it to the top level landing page of the report:
Deși nu se garantează întotdeauna că acest lucru este corect, acesta este un indicator important pentru a ajuta la o mai bună triajare și pentru a efectua o atribuire corectă.
Concluzie
This technical analysis of a Turla APT malware sample underscores the depth and sophistication of modern cyber threats, and how MetaDefender Aether saves a massive amount of time by automatically de-obfuscating multiple encryption layers until it reaches valuable IOCs. This is an interesting sample that shows how our emulation system can effectively adapt itself to the polymorphic nature of obfuscation techniques used during in-the-wild campaigns of sophisticated threat actors.
Indicatori de compromis (IOC)
Document MS Word
Sha256: 2299ff9c7e5995333691f3e68373ebbb036aa619acd61cbea6c5210490699bb6
Mailform.fs
Sha256: 4f8bc0c14dd95afeb5a14be0f392a66408d3039518543c3e1e666d973f2ba634
Servere C2
hxxp[://]belcollegium[.]org/wp-admin/includes/class-wp-upload-plugins-list-table[.]php
hxxp[://]soligro[.]com/wp-includes/pomo/db[.]php
