大家好，我是零日情報局。

只要開發快，溯源就沒法找到我。——Turla

Turla，一個圈內人盡皆知的俄羅斯背景APT間諜組織。這次這隻毒蛇開發了一種新型惡意軟件，盯上亞美尼亞開啟了持續性攻擊，領事館網站、能源部無一倖免。

值得說道的，這次攻擊中，Turla在慣用的Adobe Flash更新誘餌中，一次性增加了兩個從未被記錄的惡意組件NetFlash和PyFlash，甚至還第一次出現了使用Python語言的情況。

Turla水坑攻擊目標

你沒看錯，一次性增加了兩個從未被記錄的新惡意組件，還啟用了Turla幾乎未涉及的編程語言。對此，零日不得不猜測，Turla工具庫可能又要擴大了。

為新惡意組件鋪路的Turla水坑攻擊

甭管安裝執行什麼惡意軟件，入侵都是第一步，所以在聊新增惡意組件前，都得知道Turla是怎麼入侵的。

首先，Turla在目標網站暗中植入惡意代碼JavaScript。拿mnp.nkr [.] am來說，Turla就在常見的JavaScript庫 jquery-migrate.min.js 末尾，附加了一段混淆代碼。

（混淆JavaScript代碼注入mnp.nkr [.] am網站）

有了這串不起眼的代碼，就能在skategirlchina [.] com / wp-includes /data_from_db_top.php 加載外部JavaScript。

一旦有人訪問受感染網站，skategirlchina.com就會釋放惡意JavaScript，並在訪問者瀏覽器上添加指紋。

就像這樣

（惡意URL被偽裝的指紋腳本）

接下來上演的就是大家都熟悉的，指紋識別和惡意軟件交付危險行為。有意思的是，Turla會篩選用戶價值，分別處理。

比如說，你是第一次執行腳本的低價值目標，就會在瀏覽器上添加一個由服務器提供的隨機MD5值evercookie。

這樣這個值在後續的每一次執行腳本中都不同，進而長期持續的跟蹤用戶，甚至你直接刪除瀏覽器cookie，也無法停止evercookie的運行。

而當你是潛在的高價值目標時，Turla的服務器則會給你展示一個創建iframe的JavaScript代碼，開始對你下套。

你看到的界面，就會變成這種誘導更新的畫面。

（偽造的Adobe Flash更新iframe）

這時回過頭梳理Turla的整個攻擊過程，會發現從最初訪問受感染網站到惡意負載的傳遞，是這樣一個過程：

也是完成了上述流程，Turla才真正開始執行惡意軟件，也就是零日開篇提到新增的兩種惡意軟件。

新增惡勢力：NetFlash和PyFlash

如果分階段的話，前面說的其實是Turla攻擊的入侵階段，後面的則是Turla部署的新惡意軟件了。

惡意組件1：NetFlash（.NET下載器）

這個新發現的有效載荷NetFlash是一個. NET應用程序。

它在%TEMP%\\adobe.exe中刪除了一個Adobe Flash v32安裝程序，並在%TEMP%\\winhost.exe中刪除了一個. NET下載程序。

從ESET捕獲的惡意樣本來看，2019年8月底和2019年9月初被編譯後，NetFlash才被上傳到水坑攻擊的C＆C服務器。

NetFlash會從硬編碼URL下載其第二階段惡意軟件，並使用Windows計劃任務保持新後門的持久性，以便於後續攻擊。

通過NetFlash，可下載名為PyFlash的第二階段惡意軟件。

惡意組件2：PyFlash

第二個新發現的惡意軟件，其實是一個py2exe可執行文件。

所謂的py2exe，指的是一個Python擴展，主要功能是將Python腳本轉換為獨立的Windows可執行文件。

PyFlash通過HTTP與硬編碼的C＆C服務器通信，在腳本的開頭指定了C＆C URL以及用於加密所有網絡通信的其他參數（例如AES密鑰和IV）。

（PyFlash Python腳本中的全局變量）

通過腳本的指定，直接讓這個腳本能夠把相關計算機信息反饋給C＆C服務器。

（PyFlash的主要功能）

值得一提的是，C＆C服務器還能以JSON格式發送後門命令，進行特定操作。 在目前新發現的PyFlash中，能進行的命令主要有這幾種：

總的來說，Turla雖然一直以自主開發著稱，但這還是零日第一次看到Turla開發人員在後門程序中使用Python語言。

政府國防注意

Turla組織最早可追溯到90年代"月光迷宮"（Moonlight Maze），在其異常活躍的近十年，也始終以政府、外交和軍事組織的為目標，尤其是北約國家。

對於這樣一個APT裡異常活躍的麻煩製造機，攻擊武器一般的惡意軟件開始更新，無疑就意味著威脅的擴大，畢竟即使只有一種網絡武器，也能不受限制的攻擊所有目標。

再聯想到Turla的俄羅斯背景，以及此次新增惡意軟件攻擊的目標亞美尼亞，考慮到雙方微妙的地緣關係，這背後的地緣政治博弈，可能又暗藏著一出大戲。

零日反思

跳出技術維度，防不勝防的APT，很難用好壞去評判。就像Turla，對攻擊目標來說，無疑是安全的破壞者，而對Turla背後的政治利益集團來說，Turla則更像一把好用的武器。對Turla或者APT有想法的，咱評論區見。

零日情報局作品

微信公眾號：lingriqingbaoju

歡迎分享朋友圈

ESET《Tracking Turla：新的後門通過亞美尼亞水坑提供》

閱讀更多 零日情報局 的文章

關鍵字: 惡意軟件 黑客 Adobe