Turla APT组织用于其间谍活动的Outlook后门是一个为隐形和持久性而建的不同寻常的野兽，能够在高度受限的网络中生存。

恶意软件不会连接到命令和控制服务器，而是通过发送到受害者电子邮件的PDF文件来接收更新和指令。它的控制权仅取决于可以源自攻击者选择的任何地址的电子邮件交换。

来自ESET的安全研究人员分析了该实用程序的功能，并设法了解了它如何在不触发警报的情况下传输数据。

至少从2013年开始，Turla组织依靠这个后门，并从一个只具备电子邮件内容转储基本程序开发到可以在Empire PSInject开源工具包的帮助下执行PowerShell命令的工具。

在最近的行动中，后门作为一个独立的DLL（动态链接库），可以自行安装并与Outlook和The Bat！邮件客户端交互。它可以执行此操作，与其在磁盘上的位置无关。

在持久性方面，Turla开发人员使用了COM对象劫持–这是一种他们非常精通的常见但有效的技术。该方法允许每次Outlook加载COM对象时加载恶意DLL。研究人员注意到，这在电子邮件客户端启动时会发生。

通过依靠合法的消息传递应用程序编程接口（MAPI）与Outlook交互并访问目标的收件箱来实现隐藏。

研究人员表示，运营商使用电子邮件传输层提供包含数据传输命令或下载其他文件的特制PDF文档。通过生成具有攻击者所需数据的PDF（如传出电子邮件和消息元数据），以相同方式提取信息。

“从PDF文档中，后门能够恢复攻击者在日志中调用容器的行为。这是一个二进制blob，其特殊格式包含后门的加密命令，”ESET分析人员在今天发布的一份report中解释道。

“从技术上讲，附件不一定是有效的PDF文档。唯一的要求是它包含一个正确格式的容器。”

要隐藏用户的电子邮件交换，后门会删除发送给攻击者或从攻击者收到的邮件。新的电子邮件通知可能会显示几秒钟，但邮件正文不会显示给用户，这可能会在客户端软件中作为故障传递。

虽然没有获得带有后门命令的PDF样本，但研究人员能够创建这样的文档。一旦发送到受恶意软件控制的Outlook收件箱，它就会识别并在Windows中启动计算器应用程序。

Outlook后门组件的复杂性在其加密算法中也有体现。就像其他带有Turla签名的工具一样，后门使用了一种不太常见的算法，该算法是开发人员专门定制的。

它采用MISTY1对称加密，由Mitsubishi Electric于1995年创建。在最初的实现中，Turla增加了两个XOR操作，改变了密钥生成方法。它们还改组了s7和s9非线性查找表中的值，导致所有基于s表值识别加密算法的工具无效。

由于没有命令和控制服务器，并且作为合法活动传递给网络安全组件的模式操作，以及对标准功能的修改，Turla的Outlook后门很难被发现。