【转载】间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

最新推荐文章于 2025-07-12 11:32:07 发布
转载 最新推荐文章于 2025-07-12 11:32:07 发布 · 704 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/stonesharp/article/details/50232525

这篇博客揭示了Turla APT组织如何借助卫星通信的漏洞,通过劫持下行流量隐藏指挥和控制服务器,实现全球范围内的高隐蔽性攻击,涉及政府、军事等多个领域。

间谍新高度:间谍组织​Turla利用卫星通信隐藏C&C服务器

转载网址: https://blog.youkuaiyun.com/stonesharp/article/details/50232525

stonesharp 2015-12-09 10:00:30  1721  收藏

分类专栏: 杂类

Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。

卡巴斯基实验室也是去年才发现Turla APT组织,该组织成员均说俄语,并且还发现其利用卫星通信中固有的安全缺陷来隐藏自己的位置和实施间谍活动。

FreeBuf百科:卫星通信

卫星通信主要应用在一些网络不稳定、网速过慢或者没有网络的偏远地区。其中最普遍、最便宜的卫星网络是通过所谓的仅下游(downstream-only)连接的。用户PC端的请求会通过常规线路(有线或者GPRS连接)进行通信,且所有流入的流量均来自卫星。

如此一来,用户就可获得一个相对较快的下载速度。从安全角度来看,卫星通信的最大缺点就是返回PC端的流量是非加密的,导致任何用户均可劫持这些流量。

Turla组织利用卫星通信中固有的安全缺陷隐藏C&C服务器的位置和控制中心。我们都知道,一旦C&C服务器的位置暴露,幕后恶意操作的黑手就会很容易被发现,所以Turla组织才会努力地去隐藏C&C服务器位置。

 

卫星链接(DVB-S)劫持

在劫持卫星DVB-S链接之前,需要具备以下设备:

 

  1. 1.卫星天线(大小取决于地理位置和卫星)

  2. 2.低噪声块下变频器(LNB)

  3. 3.专用的DVB-S调制器(PCIe卡,建议使用TBS Technologies公司的TBS-6922SE)

  4. 4.电脑(最好是Linux系统的)

DVB-S调制器

执行卫星网络劫持工作

为了攻击卫星网络链接,无论是卫星链接的合法用户还是攻击者自身的卫星天线都要指向特定的用于广播流量的卫星。攻击者会滥用卫星网络流量明文传输这一缺陷,具体的方式如下:

 

  1. 1. 通过监听卫星中的downstream来识别卫星网络用户的IP地址;

  2. 2. 然后在用户不知情的情况下选择一个IP地址来掩盖其C&C服务器真实IP地址;

  3. 3. 被Turla感染的设备会收到一个指令:发送所有数据到被选中的IP地址上。数据先通过常规路径发送到卫星系统,然后再由卫星系统发送给选中IP地址的用户;

  4. 4. 合法用户会以垃圾的方式将这些数据丢掉,但威胁操作者会从下游卫星链接处重新收集起这些数据。

攻击范围极广,中国也在之列

因为卫星通信的覆盖范围非常广,所以很难追踪到威胁操作者的具体位置。被Turla组织利用的卫星网络大多是位于中东和非洲的国家,如刚果、黎巴嫩、利比亚、尼泊尔、索马里和阿拉伯联合酋长国。

目前为止,Turla APT组织已经成功入侵了全球45个国家近百个电脑系统。Turla攻击的国家包括哈萨克斯坦、俄罗斯、中国、越南、美国等,入侵的行业有政府机构、大使馆、军事、教育、科研、制药公司等。

被入侵的相关指标

IP:

 

  1. 84.11.79.6

  2. 41.190.233.29

  3. 62.243.189.187

  4. 62.243.189.215

  5. 62.243.189.231

  6. 77.246.71.10

  7. 77.246.76.19

  8. 77.73.187.223

  9. 82.146.166.56

  10. 82.146.166.62

  11. 82.146.174.58

  12. 83.229.75.141

  13. 92.62.218.99

  14. 92.62.219.172

  15. 92.62.220.170

  16. 92.62.221.30

  17. 92.62.221.38

  18. 209.239.79.121

  19. 209.239.79.125

  20. 209.239.79.15

  21. 209.239.79.152

  22. 209.239.79.33

  23. 209.239.79.35

  24. 209.239.79.47

  25. 209.239.79.52

  26. 209.239.79.55

  27. 209.239.79.69

  28. 209.239.82.7

  29. 209.239.85.240

  30. 209.239.89.100

  31. 217.194.150.31

  32. 217.20.242.22

  33. 217.20.243.37

主机名:

 

  1. accessdest.strangled[.]net

  2. bookstore.strangled[.]net

  3. bug.ignorelist[.]com

  4. cars-online.zapto[.]org

  5. chinafood.chickenkiller[.]com

  6. coldriver.strangled[.]net

  7. developarea.mooo[.]com

  8. downtown.crabdance[.]com

  9. easport-news.publicvm[.]com

  10. eurovision.chickenkiller[.]com

  11. fifa-rules.25u[.]com

  12. forum.sytes[.]net

  13. goldenroade.strangled[.]net

  14. greateplan.ocry[.]com

  15. health-everyday.faqserv[.]com

  16. highhills.ignorelist[.]com

  17. hockey-news.servehttp[.]com

  18. industrywork.mooo[.]com

  19. leagueoflegends.servequake[.]com

  20. marketplace.servehttp[.]com

  21. mediahistory.linkpc[.]net

  22. music-world.servemp3[.]com

  23. new-book.linkpc[.]net

  24. newgame.2waky[.]com

  25. newutils.3utilities[.]com

  26. nhl-blog.servegame[.]com

  27. nightstreet.toh[.]info

  28. olympik-blog.4dq[.]com

  29. onlineshop.sellclassics[.]com

  30. pressforum.serveblog[.]net

  31. radiobutton.mooo[.]com

  32. sealand.publicvm[.]com

  33. securesource.strangled[.]net

  34. softstream.strangled[.]net

  35. sportacademy.my03[.]com

  36. sportnewspaper.strangled[.]net

  37. supercar.ignorelist[.]com

  38. supernews.instanthq[.]com

  39. supernews.sytes[.]net

  40. telesport.mooo[.]com

  41. tiger.got-game[.]org

  42. top-facts.sytes[.]net

  43. track.strangled[.]net

  44. wargame.ignorelist[.]com

  45. weather-online.hopto[.]org

  46. wintersport.mrbasic[.]com

  47. x-files.zapto[.]org

MD5s:

 

  1. 0328dedfce54e185ad395ac44aa4223c

  2. 18da7eea4e8a862a19c8c4f10d7341c0

  3. 2a7670aa9d1cc64e61fd50f9f64296f9

  4. 49d6cf436aa7bc5314aa4e78608872d8

  5. a44ee30f9f14e156ac0c2137af595cf7

  6. b0a1301bc25cfbe66afe596272f56475

  7. bcfee2fb5dbc111bfa892ff9e19e45c1

  8. d6211fec96c60114d41ec83874a1b31d

  9. e29a3cc864d943f0e3ede404a32f4189

  10. f5916f8f004ffb85e93b4d205576a247

  11. 594cb9523e32a5bbf4eb1c491f06d4f9

  12. d5bd7211332d31dcead4bfb07b288473

参考来源

http://www.theregister.co.uk/2015/09/09/turla_apt_satellite_stealth/

https://securelist.com/blog/research/72081/satellite-turla-apt-command-and-control-in-the-sky/

https://blog.kaspersky.com/turla-apt-exploiting-satellites/9771/

 

来自FreeBuf黑客与极客(FreeBuf.COM

hardwork617s
关注
Python是最强语言?看看俄罗斯Turla黑客开发的Python恶意软件
01-11 1235
Turla,一个圈内人尽皆知的俄罗斯背景APT间谍组织。这次这只毒蛇开发了一种新型恶意软件,盯上亚美尼亚开启了持续性攻击,领事馆网站、能源部无一幸免。 值得说道的,这次攻击中,Turla在惯用的Adobe Flash更新诱饵中,一次性增加了两个从未被记录的恶意组件NetFlash和PyFlash,甚至还第一次出现了使用Python语言的情况。 (Turla水坑攻击目标) 你没看错,一次性增加了两个从未被记录的新恶意组件,还启用了Turla几乎未涉及的编程语言。对此,零日不得不猜测,Turla工..
WPS 5亿用户受威胁:APT-C-60利用WPS Office漏洞发动间谍攻击
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
09-02 1069
与韩国有关的网络间谍组织APT-C-60一直在利用Windows版WPS Office的一个零日代码执行漏洞,在东亚目标上安装SpyGlace后门程序。
间谍新高度间谍组织Turla利用卫星通信隐藏C&C服务器
stonesharp的专栏
12-09 2429
Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。 卡巴斯基实验室也是去年才发现Turla APT组织,该组织成员均说俄语,并且还发现其利用卫星通信中固有的安全缺陷来隐藏自己的位置和实施间谍活动。 FreeBuf百科:卫星通信 卫星通信主要应用在一些网络不稳定、网速过慢或者
玩出C&C服务器地址隐身的新花样,看看这个恶意软件怎么做的
weixin_33962621的博客
07-03 201
恶意软件作者们一直在凭借自己天马行空的想法,艰难地绕过安全研究人员的追踪和检测。 Palo Alto Network公司就曾在两个独立无关的网络间谍事件中,检测到这样的后门木马样本。研究人员表示,在这些样本中他们发现黑客使用了一种有意思的新方法,以隐藏恶意软件的C&C服务器地址。 CONFUCIUS恶意软件的定位解决方案 一些低端的恶意软件,可能...
为了摸清敌人对自己了解多少,高阶国家黑客组织Turla 决定偷走反病毒日志
smellycat000的专栏
05-26 682
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队ESET公司发现了俄罗斯最高阶的国家黑客组织Turla执行的新型攻击。这些攻击发生在2020年1月份。研究人员表示攻击...
APT组织情报:Lazarus,TURLA || 样本情报 :Triout框架
blackorbird的博客
08-23 585
难受,感受到了数据实力的差距数据,成就美好未来一、AppleJeus行动: Lazarus使用虚假安装程序和macOS恶意软件进行加密货币交换使用的是该组织老恶意家族:F...
cSpyder:一个纯C语言的简单网络间谍,用于学习
03-07
间谍 一个纯C语言的简单网络间谍,用于学习
间谍丛生:野生动物纪录片中拟人化主题的表达
06-03
本文探讨了企鹅拟人化的叙事策略:2013年推出的BBC野生动物纪录片迷你剧《捉迷藏》,利用拟人化的主题使该系列充满娱乐性和趣味性。 需要人类社会的规则和道德规范来通过有意消除虚构人物描绘的对象的动物性来解释...
Windows 10 反间谍工具 O&O ShutUp10 1.8.1420 中文多语免费版.zip
06-02
Windows 10 免费反间谍工具 O&O ShutUp10 中文版Windows 10 免费反间谍工具 O&O ShutUp10 中文版 O&O ShutUp10 中文版特色 更好地控制您的操作系统 调整您的安全设置 保护您的隐私 控制定位服务 控制 Windows 更新 ...
7、间谍活动基础:方法、威慑与挑战
最新发布
kmeans3miner的博客
07-12 78
本文探讨了间谍活动的基础,包括公开与隐蔽监控的分类、规划方法以及相关的挑战。通过SLEUTH方法,系统化地指导如何设定目标、制定策略、评估风险并执行计划,同时分析了公开监控作为威慑手段的心理效应及其局限性。文章还结合案例和实际场景,探讨了不同情境下的间谍策略,并强调了在行动中需兼顾伦理、法律与人际关系。无论用于家庭、网络还是公共安全领域,间谍活动都需要明确目标、合理规划并谨慎执行。
Turla的新武器—TinyTurla
m0_59598029的博客
08-24 197
Turla 也被称为 Snake、Venomous Bear、Uroburos 和 WhiteBear,是一个臭名昭著的 APT组织。据信该组织来自俄罗斯,2004 年以来就一直活跃。多年来,Turla 开发并维护了一套庞大的攻击工具来攻击世界各地的受害者,包括欧洲、美国、乌克兰和阿拉伯等多家。Turla 通常不与 C&C 服务器直接通信,而是使用其他失陷主机作为代理,将流量转发到真正的 C&C 服务器上。
深度分析Turla黑客组织使用的高效攻击方法
weixin_34292924的博客
09-25 947
本文讲的是深度分析Turla黑客组织使用的高效攻击方法, 在2017年1月28日,微软威胁情报中心总经理 John Lambert 通过其个人账号@JohnLaTwC发表了一个关于恶意文档的分析文章,主要是关于 JS 后门的。自2016年11月底以来,卡巴斯基实验室已经观察到Turla使用这种新的JavaScript有效载荷和特定的宏变量。Turla被...
[译] APT分析报告:05.Turla新型水坑攻击后门(NetFlash和PyFlash)
杨秀璋的专栏
10-24 7579
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了一种新型无文件APT攻击Kraken,它会利用Windows错误报告服务逃避检测。这篇文章将介绍Turla新型水坑攻击后门(NetFlash和PyFlash),研究人员发现Turla对Armenian的知名网站发起水坑攻击,通过伪造Adobe Flash更新,欺骗受害者下载两个新型恶意软件NetFlash和PyFlash,从而实现恶意攻击,整个攻击的TTP基本没有变
Turla黑客团体继续改进其Carbon后门
Anprou的博客
04-01 1225
被称为Turla(也称为Waterbug,KRYPTON和Venomous Bear)的俄罗斯APT集团不断改进其Carbon后门,ESET的专家检测到定期发布的新版本。 碳是一个第二阶段的后门,在攻击的初步侦察阶段之后使用,它涉及恶意软件,如Tavdig。 Turla的武库由复杂的黑客工具和恶意软件组成,如Turla(Snake和Uroburos rootkit),Epic Turl
Turla中的rootkit_fdisk.sys分析(一)
pureman_mega的博客
08-02 452
(果然分析不下去了,这个样本涉及的内容太广,我得去补充补充知识再来接着分析了) 最近发现这个模块比较有趣,还是个x64上的,正好可以练习一下x64的汇编,写下来有个更好的理解。由于个人能力有限,这个过程可能会持续几个月,或者更长,不知道能不能弄完。下面通过一些汇编片段来学习它的编程思路及技巧。 仅供参考,如有错误欢迎指出。 1,获取系统信息,函数原型: ULONG64 GetSystemI...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值