俄罗斯网络黑客组织劫持伊朗石油钻井平台

华盟君引言“与俄罗斯有关的网络间谍组织Turla使用了一套新的工具，劫持了伊朗石油钻井平台APT运营的指挥和控制基础设施。”

与俄罗斯有关的Turla网络间谍在新的攻击中使用了一套新的工具，劫持了与伊朗有关的石油钻井平台APT运营的指挥和控制基础设施。

最近的活动表明，图拉继续发展其武器库，并采用新闻技术，以保持在雷达。

Turla(又名Snake、Uroburos、Waterbug、剧毒熊和KRYPTON)至少从2007年以来就一直活跃在针对政府机构和私营企业的攻击中。

此前已知的受害者名单很长，还包括瑞士国防公司RUAG、美国国务院和美国中央司令部。

今年6月，ESET的研究人员观察到这个与俄罗斯有关联的网络间谍组织使用武器化的PowerShell脚本攻击欧盟外交官。

赛门铁克(Symantec)的专家观察到，在过去18个月里，至少有三次不同的攻击行动，每一次都使用了一套不同的黑客工具。在一次攻击中，攻击者使用了一种以前从未见过的后门跟踪器Neptun(后门。whisperer)，恶意代码被部署在Microsoft Exchange服务器上，被动地监听来自攻击者的命令。

专家注意到，在一次攻击中，Turla黑客使用了另一个间谍组织Crambus(又名OilRig, APT34)的基础设施。

在第二场活动中，该组织使用了三个不同的后门，其中包括一个修改版的Meterprete、一个公开可用的后门、两个自定义加载器、一个名为photobased的自定义后门。和自定义远程过程调用(RPC)后门。

第三波攻击的特点是使用了另一个定制RPC后门，它借用了PowerShellRunner工具派生的代码来执行PowerShell脚本和旁路检测。

“最近的水虫活动可以分为三个不同的运动，其特点是不同的工具集。赛门铁克发布的分析报告中写道。“这次行动中的一次攻击涉及使用另一个间谍组织Crambus(又名OilRig, APT34)的基础设施。”

华盟网" />

在最近的攻击中，Turla攻击者使用了许多其他工具和恶意软件，比如一个定制的滴管来传送Neptun后门，一个USB数据收集工具，一个结合了四个NSA工具(永恒蓝、永恒浪漫、双星、SMBTouch)的黑客工具

攻击者还使用了一组Visual Basic和PowerShell脚本进行侦察，以及公共可用的工具，如IntelliAdmin、SScan、NBTScan、PsExec、Mimikatz和Certutil.exe。

最近的三次Turla运动针对世界各地的政府和国际组织。自2018年初以来，网络间谍袭击了10个不同国家的至少13个组织:

拉丁美洲国家的外交部

中东国家的外交部

欧洲国家的外交部

南亚国家的内政部

中东国家两个身份不明的政府组织

东南亚国家一个身份不明的政府组织

设在另一个国家的南亚国家的政府机构

中东国家的一个信息和通信技术组织

两个欧洲国家的信息和通信技术组织

南亚国家的一个信息和通信技术组织

中东国家的一个跨国组织

南亚国家的教育机构

这是赛门铁克首次观察到一个目标攻击组织似乎劫持并使用了另一个组织的基础设施。然而，目前仍难以确定袭击背后的动机。究竟Waterbug只是抓住了这次攻击的机会制造混乱，还是涉及了更多的战略思考，目前还不得而知。”赛门铁克总结道。

“Waterbug不断变化的工具集显示了一个团队的高度适应性，他们决心通过领先目标一步来避免被发现。”