據(jù)外媒報(bào)道，賽門鐵克（Symantec）報(bào)告稱，最近與俄羅斯網(wǎng)絡(luò)間諜組織Turla有關(guān)的三場(chǎng)黑客活動(dòng)使用了不同的工具。Turla也被稱為Waterbug、KRYPTON和VenomousBear，已活躍10多年，主要從事網(wǎng)絡(luò)間諜活動(dòng)。

該組織最近進(jìn)行了至少三次不同的黑客活動(dòng)，每一次都使用了不同的工具集。第一場(chǎng)活動(dòng)中使用了名為Neptun的后門，該后門安裝在Microsoft Exchange服務(wù)器上，可以下載額外的工具、上傳被盜文件，并執(zhí)行shell命令。第二場(chǎng)活動(dòng)使用了修改版的Meterpreter后門，以及兩個(gè)自定義加載器——一個(gè)名為photobased.dll的自定義后門和自定義遠(yuǎn)程過(guò)程調(diào)用（RPC）后門。第三場(chǎng)活動(dòng)中，黑客使用了自定義RPC后門（與第二個(gè)活動(dòng)中觀察到的版本不同），它使用了來(lái)自PowerShellRunner工具的代碼來(lái)執(zhí)行PowerShell腳本和繞過(guò)檢測(cè)。

自2018年初以來(lái)，Turla曾對(duì)10個(gè)國(guó)家的13個(gè)組織發(fā)起了攻擊，其中一次行動(dòng)中使用了伊朗間諜組織OilRig (APT34, Crambus)的工具。這是賽門鐵克首次觀察到一個(gè)黑客組織劫持并使用另一個(gè)組織的工具。目前仍難以確定黑客組織背后的動(dòng)機(jī)。