30/10/20
Российская киберпреступная группировка Turla (также известная как Ouroboros, Snake, Venomous Bear or Waterbug), известная атаками на правительственные и военные организации, оснастила новым функционалом свои бэкдоры, обеспечивающие персистентность на системе.
Исследователи из консалтинговой компании Accenture обнаружили вредоносную кампанию против иностранного правительства в Европе, проходившую с июня по октябрь нынешнего года. В рамках атак использовались три известных вредоноса группировки, однако все они имели значительные обновления.
Одним из обновленных инструментов является бэкдор на основе удаленного вызова процедур (RPC) HyperStack. Эксперты обнаружили инструмент благодаря использованию его вместе с двумя другими инструментами в рамках кампании — известными троянами для удаленного доступа Kazuar и Carbon.
«RAT передают результаты выполнения команд и похищают данные из сети жертвы, в то время как бэкдоры (включая HyperStack) используют протокол RPC для выполнения перемещения по сети, а также отправки и приема команд на других устройствах в локальной сети. Эти инструменты часто включают несколько уровней техники запутывания и защиты», — пояснили специалисты.
Обновления в основном касались создания встроенных резервов для удаленной связи. Turla использовала разные конфигурации C&C-сервера, чтобы иметь доступ к разным точкам повторного входа, если одна из них будет заблокирована.
Экземпляры Kazuar различались по конфигурации между использованием внешних узлов C&C-сервера за пределами сети жертвы и внутренних узлов в затронутой сети, а Carbon был обновлен, чтобы включить проект Pastebin для получения зашифрованных задач наряду.
В новой версии HyperStack для выполнения RPC-вызовов от контроллера к устройству используются именованные каналы. Он использует функцию общего доступа, которая упрощает межпроцессное взаимодействие (IPC), открывая именованные каналы для записи или чтения.
Kazuar был настроен на получение команд через унифицированные идентификаторы ресурсов. Они указывали на внутренние узлы C&C-сервера в сети жертвы. Вредонос, предположительно, действует в качестве агента для передачи команд от удаленных операторов Turla к экземплярам Kazuar на внутренних узлах в сети через общедоступное сетевое местоположение с выходом в интернет. Эта настройка позволяет операторам Turla связываться с компьютерами, зараженными Kazuar, в сети жертвы, которые недоступны удаленно».
Еще один образец Kazuar был настроен для прямой связи с C&C-сервером, расположенным за пределами сети жертвы на взломанном легитимном web-сайте. По словам исследователей, он использовался для прокси-команд и передачи данных в серверную инфраструктуру Turla.
Вышеупомянутый устаревший инструмент Carbon также был обновлен. Он представляет собой модульную структуру бэкдора с расширенными возможностями одноранговой сети, которую Turla использовала в течение нескольких лет задолго до Kazuar.
Как выяснили исследователи, в июне появился обновленный образец, который объединил принадлежащую Turla инфраструктуру C&C-сервера с задачами, выполняемыми Pastebin. Установщик содержал файл конфигурации с URL-адресами взломанных web-серверов, на которых размещена web-оболочка для передачи команд и хищения данных из сети жертвы.
