Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Turla вооружилась новым вредоносным ПО

16/07/19

hack60-1Киберпреступная группировка Turla обновила свой арсенал набором инструментов для атак на правительственные структуры. В частности, злоумышленники используют дроппер под названием «Topinambour», используемый на первой стадии атак. После установки он загружает на систему другие вредоносные программы, используемые Turla для доступа к целевым сетям и извлечения данных.

По информации «Лаборатории Касперского», для распространения новых модулей преступники используют легитимные установщики ПО, зараженные дроппером «Topinambour». Это могут быть инструменты для обхода интернет-цензуры, такие как Softether VPN 4.12 и psiphon3, или активаторы Microsoft Office. Последние используются пиратами для активации пакета Microsoft Office без необходимости покупать ключ.

Русскоговорящая хакерская группировка Turla (Snake, Venomous Bear, Waterbug и Uroboros) известна своими атаками на западные правительства, а также посольства и консульства в странах постсоветского пространства.

«Topinambour» содержит «крошечный .NET шелл», который ожидает команды от C&C-сервера и выполняет их. Сама C&C-инфраструктура размещена на скомпрометированных сайтах на WordPress и облачных сервисах. С помощью команд «net use» и «copy» операторы кампании распространяют вредоносные модули следующего этапа — инструмент KopiLuwak, а также новые трояны MiamiBeach и RocketMan!, написанные на языках PowerShell и .NET.

MiamiBeach и RocketMan! загружают, скачивают и исполняют файлы, а также собирают информацию о системе. Кроме того, PowerShell-версия также способна делать снимки экрана. Также они загружают конечный более сложный вредоносный модуль, который может выполнять команды, полученные с C&C-сервера.

По мнению исследователей, создание похожих по функционалу троянов на разных языках может быть связано с защитой от обнаружения. Если на компьютере будет обнаружена одна версия, то операторы могут прибегнуть к аналогу на другом языке. Причиной разработки аналогов KopiLuwak может быть минимизация рисков обнаружения известных JavaScript-версий троянов.

Темы:УгрозыЛКпоследние разработкиTurla
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...