Le groupe Turla, aussi nommé Waterbug ou Snake, a utilisé de nouveaux outils pour des campagnes malveillantes qui ont ciblé différents services gouvernementaux à travers le monde.

Ce groupe avait déjà frappé diverses organisations du domaine de l’énergie auparavant. Les sociétés ESET et Symantec ont publié à quelques jours d’intervalle deux études sur les nouvelles techniques de Turla. Ces études sont concordantes sur plusieurs points avec des détails spécifiques dans chacune d’entre elles. L’étude d’ESET se penche plus en profondeur sur le contenu technique des outils. L’étude de Symantec donne, quant à elle, plus d’indicateurs sur le déploiement de ces outils et les cibles atteintes.

D’après Symantec, 3 vagues d’attaques ont été menées :

  • Une campagne visant les serveurs Microsoft Exchange à l’aide d’une backdoor nommée Neptun
  • Une campagne utilisant l’outil Meterpreter ainsi que deux loaders spécialisés, une backdoor prenant la forme d’une dll et une backdoor RPC
  • Une campagne utilisant une autre backdoor RPC avec utilisation de code Powershell sans écriture de fichiers

Toujours d’après Symantec, les attaquants auraient utilisé l’infrastructure d’un autre groupe d’attaquants nommé Crambus. Cependant, cela n’aurait pas été fait en collaboration, mais tout simplement en prenant le contrôle des serveurs C&C de l’autre organisation. Les chercheurs se sont basés sur les outils utilisés par Turla ainsi que leurs différentes techniques connues pour distinguer les deux groupes. L’image suivante  illustre une partie du déroulé des opérations.

 

Prise de contrôle de l’infrastructure de Crambus par Turla (Waterbug), crédits: Symantec

L’analyse d’ESET donne des détails sur ce qui ressemble à la troisième campagne telle que décrite par Symantec. Les attaquants utilisent deux méthodes de persistance pour leurs outils Powershell :

  • Utilisation d’événements WMI. Lorsqu’il est exactement 15:30:40 ou que le système victime est lancé depuis 300 à 400 secondes, une commande Powershell va lire un registre pour récupérer le contenu chiffré d’une autre payload qui est alors déchiffrée et enregistrée dans un autre registre.
  • Utilisation du profil Powershell. Ce profil est un script lancé lorsque Powershell est lancé. Une payload similaire à celle utilisée lorsque l’événement WMI est déclenché est ajoutée à ce profil.

Les payloads enregistrées dans les registres sont des chargeurs de PE qui permettent de contourner le mécanisme de protection AMSI (Antimalware Scan Interface) via le patch en mémoire du début de la fonction AmsiScanBuffer. Cette technique avait été présentée lors de la Black Hat Asia 2018.

Les charges finales sont les backdoor RPC qui sont utilisées pour effectuer des mouvements latéraux et pour la prise de contrôle de machines sur le réseau sans dépendre d’un serveur C&C externe.

Les analyses de Symantec et ESET  donnent de nombreux autres détails, notamment sur le fonctionnement du C&C de la troisième campagne.

Sources :
https://www.welivesecurity.com/2019/05/29/turla-powershell-usage/
https://www.symantec.com/blogs/threat-intelligence/waterbug-espionage-governments