Turla间谍组织针对欧洲各国政府和世界各地的使馆已有多年

全球网络安全公司ESET发布了一个臭名昭著的黑客组织Turla使用的新型高级后门的发现。ESET研究人员被称为加泽尔(Gazer)，首先记录了这个新发现的后门程序，该后门程序自2016年以来一直针对欧洲机构进行积极部署。典型的图拉特征

Turla间谍组织针对欧洲各国政府和世界各地的使馆已有多年，众所周知，它会进行水坑和鱼叉式网络钓鱼活动，以磨练受害者。

ESET研究人员已经看到新记录的后门Gazer被部署在世界各地的多台计算机上，但大部分部署在欧洲。

ESET高级恶意软件研究员Jean-IanBoutin说：“我们在这里看到的战术，技术和程序与我们在Turla运营中通常看到的是一致的。”“第一阶段的后门，例如船长，很可能是通过鱼鳞涂装来交付的，然后出现在第二阶段的后门的受损系统中。在这种情况下，是盖泽。”

检测无法检测

与Turla使用的其他第二阶段后门工具(包括Carbon和Kazuar)非常相似，Gazer从命令和控制服务器接收加密的任务，该命令可以在已受感染的计算机上执行，也可以在网络上的另一台计算机上执行。

Gazer的作者还使用自己的自定义加密技术，使用自己的3DES或RSA库。嵌入在资源中的RSA密钥包含攻击者公用服务器的密钥控制器和私有密钥。

这些密钥对于每个样本都是唯一的，用于加密和解密发送到命令/控制服务器的数据/从命令和控制服务器接收的数据。此外，还发现臭名昭著的Turla小组使用Windows注册表中的虚拟文件系统来逃避防病毒防御并继续攻击该系统。

Boutin继续说道：“Turla竭尽全力避免在系统上被检测到。”“该小组首先清除了受感染系统的文件，然后使用后门版本更改了字符串并随机选取了字幕。在这种最新情况下，Gazer的作者更改了简单的字幕，并从视频游戏中插入了行，例如“只允许单个玩家”。

对于ESET的专家团队来说，发现这个新的，没有文献记载的后门标志着朝着正确的方向迈出了一步，以解决当今数字世界中日益严重的网络间谍问题。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！