威胁组织概况

Gamaredon

Gamaredon自2013年开始活跃，主要针对乌克兰政府机构。乌克兰安全局(SSU)将其归因于FSB第18中心，该组织据信与另一个威胁组织InvisiMole存在协作关系。

Turla

Turla（又名Snake）是著名的网络间谍组织，自2004年活跃至今，被认为是FSB的一部分。主要针对欧洲、中亚和中东的高价值目标，曾入侵美国国防部和瑞士RUAG公司等重大组织。

攻击概述

2025年2月，通过ESET遥测数据，我们在乌克兰检测到四起Gamaredon-Turla联合攻击事件。在这些机器上，Gamaredon部署了多种工具（包括PteroLNK、PteroStew、PteroOdd、PteroEffigy和PteroGraphin），而Turla仅部署了Kazuar v3。

在其中一台机器上，我们捕获到有效载荷显示Turla能够通过Gamaredon植入物发出命令。PteroGraphin被用于重启Kazuar，可能是由于Kazuar崩溃或未能自动启动。这是首次通过技术指标将这两个组织联系起来。

受害者分析

过去18个月中，我们在乌克兰的七台机器上检测到Turla。前四台机器可能由Gamaredon在2025年1月入侵，而Turla在2025年2月部署了Kazuar v3。值得注意的是，Gamaredon入侵了数百甚至数千台机器，而Turla仅关注特定机器，表明其目标可能是包含高度敏感情报的系统。

第一攻击链：重启Kazuar v3

时间线

• 2025-01-20：Gamaredon在机器上部署PteroGraphin
• 2025-02-11：Turla在机器上部署Kazuar v3
• 2025-02-27：PteroGraphin下载PteroOdd，后者下载并执行Kazuar

技术细节

PteroGraphin位于%APPDATA%\x86.ps1，是一个通过Telegra.ph提供加密通道的下载器。该脚本包含编辑Telegra.ph页面的令牌。

攻击过程中检测到对https://api.telegra[.]ph/getPage/SecurityHealthSystray-01-20?return_content=true的请求，返回的数据使用PteroGraphin脚本中的硬编码3DES密钥和IV解密后，得到另一个PowerShell下载器PteroOdd。

PteroOdd随后从https://api.telegra[.]ph/getPage/dinoasjdnl-02-27?return_content=true下载有效载荷，执行命令启动vncutil64.exe，通过侧加载方式执行Kazuar v3。

Kazuar v3技术特性

Kazuar v3是Kazuar家族的最新分支，是Turla独家使用的高级C#间谍植入物。相比v2版本，Kazuar v3的C#代码量增加约35%，引入了Web Socket和Exchange Web Services等额外网络传输方法。该恶意软件具有三种角色（KERNEL、BRIDGE或WORKER），功能在这些角色间分配。

第二攻击链：通过PteroOdd部署Kazuar v2

2025年4月18日，检测到PteroOdd样本从https://api.telegra[.]ph/getPage/scrsskjqwlbw-02-28?return_content=true下载有效载荷。下载的脚本包含额外的base64编码脚本PteroEffigy，该脚本从https://eset.ydns[.]eu/scrss.ps1下载并执行Turla的Kazuar v2安装程序。

第三攻击链：通过PteroPaste部署Kazuar v2

2025年6月5-6日，检测到Gamaredon的PteroPaste在乌克兰两台机器上执行PowerShell脚本，从https://91.231.182[.]187/ekrn.ps1下载并安装Kazuar v2。攻击者试图伪装成ESET端点安全产品的合法进程ekrn.exe。

归因分析

两个组织都与俄罗斯联邦安全局(FSB)关联：

• Gamaredon：据信由FSB第18中心（信息安全中心）在克里米亚运营
• Turla：被英国NCSC归因于FSB第16中心，是俄罗斯主要信号情报机构

我们提出三种假设解释观察到的现象，其中"极有可能"的假设是：由于两个组织同属FSB（尽管在不同中心），Gamaredon向Turla操作员提供访问权限，使其能够在特定机器上执行命令。

技术指标(IoCs)

文件哈希

网络指标

MITRE ATT&CK技术映射