我们发现“月光迷宫”攻击者非常青睐使用LOKI2,该小巧精悍的Linux后门发布于90年代后期的Phrack网络杂志。它利用ICMP 协议,把信息隐藏在ICMP报文包内进行发送。攻击者一开始对LOKI2程序的编译名为lc,之后又编写了内部称为spy_cli.c的客户端程序,随着攻击活动的不断演变,攻击者对LOKI2也进行了不断的改进,开始加入了一些定制化的功能特性,如绕过FTP文件移动操作直接进行批量put/get的功能,而这也意味着我们无法发现其中一些隐蔽通信证据。
HRtest服务器上,LOKI2在的演变名称为lopg,并且与名为slok的程序共同发挥协同作用,slok程序是一个命令行方式的隐蔽邮件客户端应用。在利用LOKI2后门的基础上,攻击者还开发了一个utmp日志清扫工具对一些入侵行为动作进行扫尾。这足以说明LOKI2后门在攻击活动中的显著作用,同时也是我们调查取证的关键一环。
操作早期传闻,全球领事馆和大使馆正被俄罗斯APT组织Turla监视,自定义加密和自动化操作一直是被人津津乐道的,Turla的受害者也包括瑞士国防公司,美国国务院和美国中央司令部等。
Turla后门CC攻击中,主要的后门是一个独立的DLL(动态链接库),它与Outlook和The Bat交互!电子邮件客户端,它通过使用COM对象劫持获得持久性。有了这个技巧,每次Outlook加载COM对象时都可以加载恶意DLL。与其他后门不同, Turla示例颠覆了Microsoft Outlook的合法邮件应用程序编程接口(MAPI),以访问目标邮箱并避免被检测到。
后门在完整列表下面实现了几个命令:
专家没有检测到任何PDF样本,包括后门命令,但他们能够创建这样的文档。
可以在GitHub上找到妥协指标(IoC)和样本的完整列表 。
感兴趣的后续可以 关注专栏 | 《黑客的世界》