卡巴斯基的安全研究人披露了一個APT後門活動，被用來監視全球領事館和大使館。這個APT活動被稱為「WhiteBear」，而這個惡意活動被確認為俄羅斯Turla APT組織從2016年起所發起的。

Turla 是俄羅斯知名的駭客組織之一，他也被稱為 Snake 、 Uroburos 、 Venomous Bear或是 KRYPTON，是至今為止最為兇惡的威脅組織之一。卡巴斯基的研究員曾認為，Turla 由 90 年代著名的網路間諜組織「月光迷宮」（Moonlight Maze）演變而來，而據說，它已經活躍了十多年。這個組織被認為在 2008 年發動了針對美國國防部（DoD）的網路攻擊，各種國際政府機構、大使館、醫學研究和製藥公司都是它的攻擊對象，除此之外，這個駭客組織還被懷疑駭了一堆明星的社群網站帳號，甚至還有中東的衛星網路提供商。

Turla組織過去的攻擊活動分兩個階段，其特點如下：

• 目標機構為大使館和政府部門。
• 傳送第一階段的後門，例如Skipper。
• 部署第二個隱藏後門，例如Gazer、Carbon和Kazuar。
• 第二階段的後門將被黑合法網站作為代理通過控制與命令伺服器（C&C伺服器）接收攻擊分子的加密指令。

WhiteBear感染途徑
駭客透過魚叉式釣魚郵件散播惡意的payload(封包、程式)，並分兩個階段攻擊目標電腦。
首先第一階段，惡意軟體drops另一個後門Skipper，然後安裝第二階段的後門Gazer，第二階段的後門透過C2伺服器來接收來自駭客的加密指令，另外發現WhiteBear樣本都使用英國組織“Solid Loop Ltd”簽發的證書。

圖1、WhiteBearAPT流程圖

WhiteBear惡意檔案
Sample MD5： b099b82acb860d9a9a571515024b35f0
SHA256：473aa2c3ace12abe8a54a088a08e00b7bd71bd66cda16673c308b903c796bec0
Type：PE EXE
Compilation timestamp：2002.02.05 17:36:10 (GMT)
Linker version：10.0 (MSVC 2010)
Signature：“Solid Loop Ldt” UTCTime 15/10/2015 00:00:00 GMT – UTCTime 14/10/2016 23:59:59 GMT

C&C Server
IP：
169.255.137[.]203
217.171.86[.]137
66.178.107[.]140

Domains：
soligro[.]comw
daybreakhealthcare[.]co[.]uk
implecreative[.]design
mydreamhoroscope[.]com

WhiteBear 攻擊目標
2016年2月至9月，WhiteBear的活動主要集中在世界各地的使館和領事館，直到2017年6月，WhiteBear的活動轉移到了國防相關組織。近年來WhiteBear的活動跟政府外交相關，包含國際組織及國防組織，主要則歐洲、西亞、中亞、東亞及南美等地視為主要攻擊目標。

Whitebear偵測方式
透過線上檢測軟體進行測試，我們可以發現賽門鐵克，卡巴斯基，邁克菲，微軟等防毒軟體能夠檢測到後門病毒。

圖1、防毒軟體能夠檢測到這個後門病毒

如果組織中的類似解決方案無法檢測到威脅，建議可以把命令和控制中心的IP和URL都加入防火牆黑名單中，並密切監視網路活動。

參考資料：

1. https://thehackernews.com/2017/08/gazer-backdoor-malware.html
2. https://buzzorange.com/techorange/2017/06/19/the-best-hacker-group/

(感謝peiya分享相關資料)