Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Группировка Turla взяла на вооружение скрипты PowerShell

29/05/19

PowershellМеждународная антивирусная компания ESET обнаружила новые инструменты группировки Turla. В недавних атаках киберпреступники начали применять скрипты PowerShell, которые усложняют обнаружение вредоносных программ и сохраняют повышенную персистентность. 

Недавно ESET зафиксировала несколько кибератак на дипломатические учреждения в Восточной Европе. Во всех случаях использовались скрипты PowerShell, которые позволяют загружать и запускать вредоносные программы прямо в памяти. 

Этот способ более эффективен для сокрытия вредоносной активности по сравнению с традиционным сохранением исполняемого файла на диск. Эксперты ESET отмечают, что PowerShell-скрипты являются неотъемлемыми компонентами, позволяющими загрузить RPC- и PowerShell-бэкдоры.

 

Ранее киберпреступники уже пытались использовать загрузчики PowerShell, однако вредоносную кампанию не удалось реализовать из-за многочисленных багов. Сейчас Turla улучшила скрипты и теперь использует их для загрузки широкого спектра разнообразных вредоносных программ.

«Мы обнаружили и изучили не только новый загрузчик PowerShell, но и несколько вариантов полезной нагрузки», — рассказывает антивирусный эксперт ESET Матье Фау.

Несмотря на использование скриптов PowerShell, антивирусные продукты по-прежнему могут детектировать вредоносную полезную нагрузку. Эксперты выделяют два вида бэкдоров, один из которых получает контроль над устройствами локальной сети без привязки к внешнему C&C-серверу (бэкдор на базе RPC-протокола). 

Другой, PowerStallion, использует хранилище Microsoft OneDrive в качестве C&C-сервера. «Мы считаем, что этот бэкдор помогает восстанавливать доступ в случаях, когда основные вредоносные программы заблокированы и не имеют доступ к скомпрометированным компьютерам», — полагает эксперт ESET Матье Фау.

 

Любопытно, что в новых атаках группировка использует бесплатный сервис электронной почты GMX.

 

Темы:УгрозыPowershellTurla
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...