疑似俄罗斯黑客组织Turla针对全球各地多个目标的攻击活动

研究人员发现了一种针对Microsoft Exchange邮件服务器并可通过电子邮件附件远程控制的Turla后门，用于攻击来自世界各地的多个目标。

受害者分布如下

    其中有一个外交部和一个地区外交组织，攻击目标于eset 18年发布的报告https://www.welivesecurity.com/2018/08/22/turla-unique-outlook-backdoor/一致

1Turla简介

Turla是疑似来自俄罗斯的黑客组织，别名Snake，Venomous Bear，Group 88，Waterbug，WRAITH，Turla Team，Uroburos，Pfinet，TAG_0530，KRYPTON，Hippo Team。

    2014年的一篇“卫报”文章称Turla为：“被称为Turla黑客，初步情报显示西方强国是关键目标，但后来确定东方国家的大使馆更受关注。比利时，乌克兰，中国，约旦，希腊，哈萨克斯坦，亚美尼亚，波兰和德国的大使馆都受到了攻击，但卡巴斯基实验室和赛门铁克的研究人员无法确认哪些国家是真正的目标。赛门铁克研究人员表示，在2012年5月的一起案件中，前苏联成员国总理办公室受到感染，导致另外60台计算机受到影响。还有一些其他受害者，包括西欧国家的卫生部，中美洲国家的教育部，据赛门铁克称，中东的国家电力供应商和美国的医疗机构。据称，该组织还对2008年对美国中央司令部的袭击事件负责。持续运营的攻击者表面上都试图对目标进行监视并窃取数据，尽管他们在网络中使用加密技术已经很难确定黑客究竟采取了什么措施。然而，卡巴斯基实验室拿起了一些数据。攻击者搜索他们的受害者电子邮件，其中包括北约和欧盟能源对话等术语虽然归属很难证实，俄罗斯此前一直被怀疑进行攻击，赛门铁克Gavin O'Gorman告诉“卫报”，一些黑客似乎在他们的笔记中使用俄语名称和语言来表示他们的恶意代码。还包括了西里尔文。

2LightNeuron主要特征

    LightNeuron是第一个专门针对Microsoft Exchange电子邮件服务器的恶意软件。它使用前所未有的持久性技术：传输代理。在邮件服务器体系结构中，它与安全产品（如垃圾邮件过滤器）的信任级别相同。下图总结了LightNeuron的运作方式。

通过利用传输代理访问，LightNeuron能够：

一组灵活的XML规则驱动这些功能，如图所示

在规则的最后，有LightNeuron实现的处理程序列表。这些功能在规则中用于处理电子邮件。下表描述了11种不同的处理程序。

3后门

该后门是一个由电子邮件控制的后门。使用隐写术将命令隐藏在PDF或JPG附件中。

    攻击者只需向受感染组织的任何电子邮件地址发送包含特制PDF文档或JPG图像的电子邮件。支持的命令如下

4隐写术

LightNeuron使用隐写术将其命令隐藏在PDF文档或JPG图像中。因此，即使电子邮件被拦截，它也可能看起来合法，因为它包含有效的附件。

    对于PDF，命令数据可以在文档中的任何位置。LightNeuron操作员只需在PDF的开头添加一个标题，以指定数据所在的偏移量，如图所示

    一旦用AES-256解密了这一团数据，它就会显示出如图6所示的自定义结构

结构解释：

ioc:https://github.com/eset/malware-ioc/tree/master/turla#lightneuron-indicators-of-compromise

完整pdf报告：https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf