Turla Hacker Group窃取防病毒日志以查看是否检测到其恶意软件

ESET的安全研究人员发现了由Turla实施的新攻击，Turla是俄罗斯最先进的国家支持的黑客组织之一。

新的袭击发生在2020年1月。ESET研究人员说，袭击的目标是三个备受瞩目的实体，如高加索的国家议会和东欧的两个外交部。由于国家安全原因，无法点名识别目标。

这些入侵是一长串受害者名单中的最新一例，其中大多数包括外交和军事实体。这份清单始于2000年代中期的五角大楼，多年来一直持续到欧洲、中东、亚洲和非洲的目标。

然而，2020年1月的攻击之所以脱颖而出，是因为部署了更新版本的Comrat恶意软件，ESET表示，该软件包含了一些相当聪明的新功能。

Comrat恶意软件，也被称为Agent.BTZ，是Turla最古老的武器之一，也是他们在2008年用来从五角大楼网络中虹吸数据的工具。

该工具多年来经历了几次更新，分别在2014年和2017年发现了新版本。

最新的Comrat v4首次出现在2017年，然而，在今天发布的一份报告中，ESET表示，他们发现了Comrat v4的一个变种，其中包括两个新功能，比如能够渗出反病毒日志，以及能够使用Gmail收件箱控制恶意软件。

这些功能中的第一个是恶意软件从受感染的主机收集防病毒日志并将其上传到其中一个命令和控制服务器的能力。

黑客组织的确切动机一直不清楚，但分析恶意软件的ESET研究员Matthieu Faou告诉ZDNet，Turla操作员可能正在收集防病毒日志，以便让他们更好地了解是否检测到了恶意软件样本，以及检测到了哪些恶意软件样本。

人们相信，如果Turla操作员看到检测到的东西，他们就可以调整他们的恶意软件，避免将来在其他系统上被检测到，这样他们就可以在不被检测到的情况下操作。

Faou说，窃取日志的恶意软件很常见，但事件响应人员总是很难检测到这种行为。

法乌告诉我们，问题是通常很难确定攻击者泄露了哪些文件。但对于相对先进的群体来说，试图了解他们是否被发现或是否留下痕迹并不少见。

但这并不是最新的Comrat恶意软件版本中唯一的重大变化。Faou说，恶意软件现在包括的不是一个，而是两个命令和控制机制。

第一种是通过HTTP联系远程服务器并检索在受感染主机上执行的指令的经典方法。

第二个，也是新的一个，是使用Gmail的网络界面。Faou说，最新的Comrat v4接管了受害者的一个浏览器，加载了一个预定义的cookie文件，然后启动了与Gmail Web仪表板的会话。

在这里，恶意软件读取收件箱中的最新电子邮件，从收件箱下载文件附件，然后读取文件中包含的说明。

这个想法是，每当Turla操作员想要向在受感染主机上运行的Comrat实例发出新命令时，黑客只需向Gmail地址发送一封电子邮件即可。执行以这种方式发送的指令后收集的所有数据都被发送回Gmail收件箱，并重定向回Turla操作员。

ESET说，尽管有新的功能，Turla运营商仍然像以前一样使用Comrat，这主要是作为已经感染的主机上的第二阶段有效载荷。在这里，Comrat用于在文件系统中搜索特定文件，然后将数据渗透到远程点，通常是OneDrive或4Shared上的云文件共享帐户。

两周前，卡巴斯基还发布了一份关于一些较旧的Turla恶意软件的报告，该软件收到了漂亮的更新。研究人员说，他们发现了一种新版本的COMPFUN恶意软件，Turla操作员可以使用一种依赖HTTP状态码的新颖且前所未见的系统来控制这种恶意软件。