Gamaredon与Turla合作:俄罗斯APT组织联合攻击乌克兰目标
关键发现
- 2025年2月,发现Gamaredon工具PteroGraphin被用于在乌克兰机器上重启Turla的Kazuar后门
- 2025年4月和6月,检测到Kazuar v2通过Gamaredon工具PteroOdd和PteroPaste部署
- 高度确信Gamaredon正在与Turla合作,两个组织均与俄罗斯联邦安全局(FSB)有关联
- 与Gamaredon的大量受害者相比,Turla的受害者数量极少,表明Turla选择最有价值的机器
威胁组织简介
Gamaredon
自2013年起活跃,主要针对乌克兰政府机构。乌克兰安全局(SSU)将其归因于FSB第18中心,在克里米亚活动。
Turla
又名Snake,自2004年起活跃的著名网络间谍组织,被认为是FSB的一部分,主要针对欧洲、中亚和中东的高调目标。
技术分析概述
2025年2月,通过ESET遥测在乌克兰检测到四起Gamaredon-Turla共同入侵事件。在这些机器上,Gamaredon部署了多种工具,而Turla仅部署了Kazuar v3。
在一台机器上捕获的有效载荷显示,Turla能够通过Gamaredon植入物发出命令。PteroGraphin被用于重启Kazuar,可能是Kazuar崩溃或未能自动启动后的恢复方法。
受害者分析
过去18个月中,在乌克兰的七台机器上检测到Turla。相信Gamaredon在2025年1月入侵了前四台机器,而Turla在2025年2月部署了Kazuar v3。
合作假设
鉴于两个组织都是俄罗斯FSB的一部分(尽管属于不同中心),Gamaredon很可能向Turla操作员提供了访问权限,使他们能够在特定机器上执行命令以重启Kazuar,并在其他机器上部署Kazuar v2。
技术链条分析
第一链条:重启Kazuar v3
时间线:
- 2025年1月20日:Gamaredon在机器上部署PteroGraphin
- 2025年2月11日:Turla在机器上部署Kazuar v3
- 2025年2月27日:PteroGraphin下载PteroOdd,后者下载执行Kazuar的有效载荷
技术细节:
PteroGraphin是一个下载器,通过Telegram运营的Telegra.ph服务提供加密通道传递有效载荷。检测到PteroOdd下载PowerShell脚本,最终执行位于C:\Users\[redacted]\AppData\Local\Programs\Sony\Audio\Drivers\vncutil64.exe的Kazuar。
第二链条:通过PteroOdd部署Kazuar v2
2025年4月18日,检测到PteroOdd样本从Telegra.ph下载包含PteroEffigy PowerShell下载器的有效载荷。该下载器从eset.ydns[.]eu/scrss.ps1下载并执行Turla的Kazuar v2安装程序。
第三链条:通过PteroPaste部署Kazuar v2
2025年6月5日和6日,检测到Gamaredon的PteroPaste在乌克兰两台机器上执行PowerShell脚本,下载并安装Kazuar v2。
Kazuar恶意软件分析
Kazuar v3是Kazuar家族的最新分支,是高级C#间谍植入物。与Kazuar v2相比,代码量增加约35%,引入了Web套接字和Exchange Web Services等额外网络传输方法。
Kazuar v3具有三种角色(KERNEL、BRIDGE或WORKER),恶意功能在这些角色间分配。
结论
研究显示Turla能够利用Gamaredon操作的植入物(PteroGraphin、PteroOdd和PteroPaste)来重启Kazuar v3并在乌克兰多台机器上部署Kazuar v2。高度确信这两个与FSB分别关联的组织正在合作,Gamaredon为Turla提供初始访问权限。
IoC指标
完整的危害指标和样本列表可在GitHub存储库中找到,包括文件哈希、域名和IP地址。
MITRE ATT&CK技术映射
攻击中使用的技术包括:
- 资源开发:获取基础设施、服务器和服务
- 执行:PowerShell命令和脚本解释器
- 持久化:DLL侧加载
- 防御规避:反混淆、环境键控、伪装
- 发现:进程发现、注册表查询、系统信息发现
- 命令与控制:Web协议、对称加密、Web服务滥用