Reference

2020.03.12/Tracking Turla: New backdoor delivered via Armenian watering holes

https://www.welivesecurity.com/2020/03/12/tracking-turla-new-backdoor-armenian-watering-holes/?fbclid=IwAR1kJQ1vBjLuom_3JXSb5FjH8p2zB83vRzBoCLszoL9y6vNvbg9XmJpEz-k

Turla(1).pdf

https://leemon.tistory.com/34

사건 내용

정보 소유의 2개 웹사이트를 포함해 최소 4개의 아르메니아 웹사이트가 손상되었다.

→ 정부 소유의 웹사이트가 포함되어 있으므로 대상에는 공무원과 정치인이 포함될 가능성이 높다.

그리고 작동 방식은 2017년 캠페인에 사용된 JavaScript와 거의 동일하지만 대상과 페이로드가 다르다.

2019년 초부터 이런 웹사이트가 손상된 징후가 있었다.

Turla는 알려지지 않은 액세스 방법을 활용하여 악성 JS 코드를 삽입한다. (+ 난독화된 코드)

아르차흐 공화국 관련 웹사이트에 삽입된 코드

아르차흐 공화국 관련 웹사이트에 삽입된 코드

  1. 손상된 웹 페이지를 방문하면

  2. skategirlchina[.]com이 2단계 외부 악성 JS를 전달하고 흔적을 남긴다.

2-1. 사용자의 브라우저에서 처음으로 스크립트를 실행하는 경우 evercookie를 추가한다.

evercookie의 구현은 GitHub에서 사용할 수 있는 코드 기반으로 쿠키 값을 저장하기 위해

⇒ 일반 쿠키와 비교하여 사용자가 브러우저의 쿠키를 삭제하면 삭제되지 않으므로 훨씬 영구적이다.

evercookie 사용하는 이유